研究人员发现了一个无法弥补的安全漏洞,影响了数百万的智能家居设备

从智能家居设备到工业技术的一切都可能受到影响。...

企业安全公司Forescout的研究人员发布的一份新白皮书发现了一个可能影响数百万台联网设备的漏洞。

organized cybercrime organizati***

这个问题源于四个广泛使用的开源TCP/IP代码库中的零日漏洞。

健忘症:33难以忘怀

白皮书背后的团队将此漏洞命名为健忘症:33,并在Forescout[PDF]提供的白皮书中详细概述了每个问题。

Forescout估计,这一安全漏洞影响了全球150多家联网设备供应商。从智能家庭设备到工业环境中使用的物联网(IoT)设备,可能有数百万台设备易受攻击。

正如白皮书所概述的,该漏洞有几种可能影响各种设备的方式:

  • 远程代码执行(RCE)控制目标设备
  • 拒绝服务(DoS)会损害功能并影响业务运营
  • 信息泄漏(Infoleak)获取潜在的敏感信息
  • 将设备指向恶意网站的DNS缓存中毒

任何一种攻击模式都可能对系统造成严重破坏,修补漏洞并不是一件容易的事。

影响广泛的风险和后果

这远不是联网系统第一次出现缺陷,一些人甚至质疑,像Ring这样的设备是否会让你的房子比传统的离线安全设备更不安全。虽然到目前为止还没有记录到由于该漏洞而导致的攻击,但Forescout团队概述了一些可信的攻击场景。

使用的网络堆栈存在于大量连接设备中,包括智能插头和温度监测器,这可能会影响家庭用户,但在公共场所会产生更可怕的后果。

例如,在医疗保健环境中,攻击者可以访问网络并造成严重破坏,可能会影响温度系统、连接的锁或触发错误的火灾警报。在零售环境中,连接的温度传感器是一个常见的弱点,一旦进入网络,黑客就可以使整个商店离线——这会导致许多商店无法完成交易或监控库存。

当然,这些都是最坏的情况,但与所有安全白皮书一样:如果Forescout没有想到这一点,那么有恶意意图的人可能也想到了。

为什么不能修好?

代码库位于健忘症:33人许多联网设备的基本构造块。它们都是开源的,这意味着开发者可以****或修改它们。

即使这些代码库都已更新,使用免费代码的性质也会导致重新混合库、独特的实现,以及包含潜在恶意代码的大量代码库。

在这个阶段,解决这个问题的唯一方法是公司承担个人责任并评估他们的软件实现,从最底层到最底层。

即使大多数供应商认真对待,我怀疑这是最后一次我们会听到健忘症:33。

  • 发表于 2021-03-29 04:08
  • 阅读 ( 168 )
  • 分类:互联网

你可能感兴趣的文章

数百万个应用程序如何容易受到一次安全黑客攻击

在今年的黑帽欧洲安全会议上,来自香港中国大学的两位研究人员展示了一项研究,显示了影响Android应用程序的漏洞,这可能会导致超过十亿个安装的应用程序易受攻击。 ...

  • 发布于 2021-03-17 00:45
  • 阅读 ( 176 )

原来,网飞涨价是对的

... 首先是Netflix计划**更多原创内容。我们最近发现Netflix已经删除了一半的目录,以资助更多的原创内容。我们现在知道,Netflix计划将其原创内容的数量增加一倍,从今年的600小时增加到明年的1000小时。所以如果你对...

  • 发布于 2021-03-17 04:36
  • 阅读 ( 152 )

minecraft fleeceware诈骗了数百万google play用户

... Avast恶意软件分析团队负责人Ondrej David发现了fleeceware应用程序的存在,他告诉我们: ...

  • 发布于 2021-03-29 17:13
  • 阅读 ( 268 )

亚马逊产生了数百万磅的塑料垃圾

...堆,并经常缠绕在动物的肚子里。2019年,在菲律宾海岸发现一头鲸鱼,腹部有88磅的塑料。当人类吃了从我们的垃圾中摄取了微塑料的鱼,这些塑料最终也会进入我们的肚子。 Oceana担心,随着越来越多的人在网上购物,剩下的...

  • 发布于 2021-04-17 03:00
  • 阅读 ( 163 )

首次公开募股文件显示,由于冠状病毒,airbnb损失了数百万美元的收入

...。” 该公司自成立以来每年都出现净亏损,并表示可能无法实现盈利。2017年净亏损7000万美元,2019年净亏损6.743亿美元,营收48.1亿美元。截至9月30日的9个月内,该公司净亏损6.969亿美元,营收为25.2亿美元,而去年同期亏损为3228...

  • 发布于 2021-04-17 08:39
  • 阅读 ( 146 )

据报道,加明在遭受网络攻击后支付了数百万美元的赎金

...数据。 BleepingComputer上周报道说,Garmin收到了一个解密密钥,可以访问病毒加密的数据,最初的赎金要求是1000万美元。 攻击本身始于7月23日,并使Garmin的可穿戴设备、应用程序、网站甚至其呼叫中心连续几天处于离...

  • 发布于 2021-04-18 04:04
  • 阅读 ( 155 )

在破坏加密聊天系统后,执法部门逮捕了数百人

...来一直在监控这些对话。法国警方首先入侵了该网络,在发现其部分*****在该国后,部署了一种“技术装置”渗透EncroChat通讯。当局在3月份首次破解了EncroChat的加密代码,4月份开始接收数据。 根据主板的一份报告,警方访问了...

  • 发布于 2021-04-18 10:57
  • 阅读 ( 139 )

youtube创始人jeffree star被化妆品零售商morphe抛弃

...ouTube詹姆斯·查尔斯(James Charles)利用自己的影响力与另一个男人进行不适当的交往。恰巧,查尔斯还与Morphe合作开发了自己的几个调色板。在韦斯特布鲁克的指控之后,购买了他的变形系列的查尔斯的粉丝们录下了自己销毁调...

  • 发布于 2021-04-18 12:50
  • 阅读 ( 180 )

twitter说,人工智能推特推荐帮助它增加了数百万用户

...内容“相关性增强”。 默认情况下,Twitter会向用户显示一个算法时间线,突出显示它认为他们最感兴趣的内容;对于关注少数帐户的用户,它还会显示他们关注的人的喜欢和回复,让他们可以滚动浏览更多内容。Twitter的通知...

  • 发布于 2021-04-20 02:26
  • 阅读 ( 174 )

youtube在比赛前开始播放2014年超级碗的广告

...经开始在大型比赛之前上线。今天,YouTube推出了它的第一个赛前图库,其中包括7个游戏期间播放的一些知名商业广告。这些广告包括百事可乐、Squarespace和多里托斯的挑逗。
 
 广告商的目标是在一个球被踢之...

  • 发布于 2021-04-25 03:20
  • 阅读 ( 189 )
Bili_39754884
Bili_39754884

0 篇文章

相关推荐