在他们成为僵尸网络僵尸之前更新您的Belkin WEMO设备
尽管预算限制,议会继续在Oracle上花费
角度3在角度的脚跟上炎热
Openai将使用Microsoft的云,因为Azure获得了更多功能
埃森哲为重新进入工作场所的人推出了回报者计划
Verizon信号雅虎数据泄露可能会影响ACQUSITION
微软停止销售Windows 7 Professional到OEM
LinkedIn责备俄罗斯黑客嫌疑人为2012年违规行为
Apple发布iOS,MacOS更新
Apple的Bezel-Free iPhone 8 - 预期的内容
政府敦促改善质量数据违规的补救
思科旨在将250,000人提交2020年
GDPR可以提高Cyber​​ Raftice要求,警告研究员
FINTECHS必须遏制隐私入侵,隐私国际表示
启动为新MacBook Pro,其他设备创建USB-C-to-MagSafe适配器
Apple现在出售翻新的IPhone享受折扣
苏格兰救护车服务测试卫星改善关键护理过程
英国的色情年龄核查提案愤怒宣传隐私倡导者
近一半英国IT工人正在寻找一份新工作
任何在线业务的DDOS攻击目标
研究表明,只有四分之一的英国律师事务所已准备好为GDPR提供
用云开裂基因组码
CIO需要冠军数字变革,因为它领导力量发展
顾问说,银行理想地放置在填补身份无效的银行
神奇宝贝Go Guide App随半百万的下载Hacks Android设备
Mobileye即将到来的自动驾驶汽车芯片将打开一个新的MIPS CPU
CBI说,慢速技术采用与英国商业中的低生产率相关联。
这种新的编程语言有助于在大数据上提升4倍
伦敦的三分之一技术公司因Brexit而失去潜在的雇用
人力资源科技的转型议程“正在收集步伐”
你想要炸薯条吗?Inkling的目标是重新验证的内容
可再生能源占世界电力容量的近三分之一
Adobe修复了Flash Player和Digital Editions中的临界缺陷
黑客在比特币偷了近80米
微软终于修复了双重打印错误,但更多的修补问题织布机
以下是思科网络将为Apple Devices提供有利的状态
黑客对他们被盗的NSA黑客工具的需求很少
医生:电子健康记录提高成本,不要帮助患者结果
近70%的老师认为他们没有教学编码的技能
由于Brexit不确定性,英国初创公司转向欧盟资助后挤满了众所周知
皇家伦敦医院使用虚拟现实在患者身上运营
HPE Exec表示,现在为欧盟的隐私法规革命计划
CCS将G-Cloud 9延伸至2019年5月
AT&T即将到来的SD-WAN服务将分布到FlexWare中
政府Brexit研究仅提供技术部门的背景
£115构造的面具绕过iphone x面部ID验证
2017年十大存储和备份故事
空间组织转储NAS进行对象存储以获得空间
IBM的Joanna Davinson成为新的家庭办公室技术老板
这种智能光线比一个更明亮
您的位置:首页 >政策法规 >

在他们成为僵尸网络僵尸之前更新您的Belkin WEMO设备

2021-07-24 16:44:06 [来源]:

WEMO Home自动化设备的所有者应将它们升级到上周发布的最新固件版本,以修复可能允许黑客完全妥协它们的关键漏洞。

来自博尔金WEMO交换机的安全公司InvInmea的研究人员发现了该漏洞,允许用户通过使用智能手机远程转动电子设备的智能插头。他们在缸盆中确认了一个启用WEMO的智能慢炖锅中的相同缺陷,他们认为它也可能存在于其他WEMO产品中。

像WEMO交换机这样的WEMO设备可以通过智能手机应用程序来控制,该应用程序通过通过Belkin,Wemo Home自动化平台的创建者运行的云服务通过云服务与互联网通信。

移动应用程序可用于iOS和Android,允许用户根据一天或一周中的日期创建规则以打开或关闭设备。这些规则在应用程序上突出,然后将本地网络推向设备作为SQLite数据库。该设备使用一系列SQL查询解析此数据库并将其加载到其配置中。

Invincea研究人员Scott Tenaglia和Joe Tanen发现了这种配置机制中的SQL注入漏洞,可以允许攻击者在其选择的位置中在设备上编写任意文件。可以通过欺骗设备以解析恶意制作的SQLite数据库来利用该漏洞。

这是琐碎的实现,因为没有用于此过程的身份验证或加密,因此同一网络上的任何人都可以向设备发送恶意SQLite文件。攻击可以从另一个受损的设备推出,如恶意软件感染的计算机或被黑客路由器。

Tenaglia和Tanen利用该漏洞在设备上创建第二个SQLite数据库,该数据库将由命令解释器解释为shell脚本。然后,它们将文件放在特定位置,从restart将自动由设备的网络子系统自动执行。远程强制设备重新启动其网络连接很容易,只需要向其发送未经身份验证的命令。

这两个研究人员在星期五在黑色帽子欧洲安全会议上展示了他们的攻击技术。在演示期间,他们的流氓shell脚本在设备上打开了一个Telnet服务,允许任何人用没有密码连接。

但是,而不是Telnet,脚本可以像Mirai那样容易地下载恶意软件,最近感染了数千个互联网的设备,并使用它们来推出分布式拒绝服务攻击。

WEMO交换机与其他​​一些嵌入式设备如路由器一样强大,但由于数量大,他们仍然可能是攻击者的有吸引力的目标。根据Belkin的说法,世界上有超过150万个WEMO设备。

攻击此类设备确实需要访问同一网络。但是,攻击者可以通过感染的电子邮件附件或任何其他典型方法传递给Windows恶意软件程序,这将扫描WEMO设备的本地网络并感染它们。一旦这种设备被黑客攻击,攻击者就可以禁用其固件升级机制,使永久性永久性。

两位Imvinnea研究人员还发现了用于控制WEMO设备的移动应用程序中的第二次漏洞。在8月份修补之前,缺陷可能会允许攻击者窃取照片,联系人和用户“手机的文件,以及追踪手机的位置。

涉及为WEMO设备设置特制名称的漏洞利用,当WEMO移动应用程序读取时,将强迫它在手机上执行Rogue JavaScript代码。

安装在Android上时,应用程序有权访问手机的相机,联系人和位置以及存储在其SD卡上的文件。在应用程序本身中执行的任何JavaScript代码都将继承这些权限。

在他们的演示中,研究人员制作了从手机拍摄照片并将其上传到远程服务器的JavaScript代码。它还连续上传到服务器的手机的GPS坐标,从而实现远程位置跟踪。

“Wemo了解旨在在Invincea实验室的团队报告的最近的安全漏洞,并发出了解决方法并纠正他们的修复,”Belkkin在其Wemo社区论坛上公布。“Android应用程序漏洞在8月份版本1.15.2版本中修复,SQL Injection漏洞的固件修复(版本10884和10885)于11月1日播出。”

Tenaglia和Tanen说Belkin对他们的报告非常敏感,并且在安全方面是一个更好的IOT供应商之一。他们说,该公司实际上是一项非常好的工作,锁定硬件侧面的WEMO开关,而且今天的设备比平均IOT产品更安全,他们说。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。