青蓮晚報(第十六期)| 物聯網安全多知道
當今社會物聯網裝置已經逐步滲透到人們生產生活的方方面面,為人們及時瞭解自己周圍環境以及輔助日常工作帶來便利。但隨著互聯緊密度的增高,物聯網裝置的安全性問題也逐漸影響到人們的正常生活,甚至生命安全,物聯網裝置安全不容小覷。 以下為近日的物聯網安全新聞內容。
卡巴斯基實驗室:汽車共享APP出現漏洞易被黑客攻擊
卡巴斯基實驗室研究人員分析了十幾個提供汽車共享服務的公司app,發現存在可被黑客利用的嚴重安全漏洞。攻擊者可通過逆向工程獲取root許可權,達到劫持使用者賬戶、追蹤使用者位置的目的。並且可利用漏洞在未付費狀況下使用汽車,有竊取零件或利用車輛犯罪的隱患。當前存在漏洞的13款app下載量已超百萬。
詳文閱讀:
https://www.securityweek.com/car-sharing-apps-vulnerable-hacker-attacks-kaspersky
三星智慧家居平臺 SmartThings Hub 出現大量漏洞
思科研究人員近期在三星SmartThings Hubs中發現了20個漏洞,攻擊者可利用漏洞進行監控、控制及干擾家庭裝置。
三星SmaryThings Hub是一箇中央控制器,用於實時監控和管理物聯網裝置,包括相機、恆溫器、LED燈、智慧插座、家庭報警系統以及運動探測器等,這些裝置通過乙太網、藍芽Zigbee等多種技術連結。
攻擊者可利用這些漏洞進行ddos攻擊和遠端程式碼執行,達到完全的操控效果。
詳文閱讀:
https://www.helpnetsecurity.com/2018/07/27/samsung-smartthings-hub-vulnerabilities/
大量藍芽裝置和系統將受加密漏洞CVE-2018-5383 影響
近期,安全研究專家在某些藍芽裝置中發現了一個高危加密漏洞(CVE-2018-5383),未經驗證的攻擊者在物理接近目標裝置後,這個漏洞將允許他們攔截、監控或篡改裝置的網路資料。
這個藍芽漏洞編號為CVE-2018-5383,受影響的包括蘋果、博通、英特爾和高通等大型廠商所生產的裝置韌體以及作業系統軟體驅動器,另外該漏洞是否會影響Android和Linux裝置,目前還是未知數。
該漏洞主要會影響兩種藍芽功能,第一個是作業系統軟體中用於安全連線配對的低功耗藍芽(LE)實現,第二個是裝置韌體中用於安全簡單配對的BR/EDR實現。
詳文閱讀:
http://www.freebuf.com/news/178833.html
20多萬MikroTik路由器遭遇加密劫持,被用於加密貨幣挖礦
本週,安全研究員發現大量 MikroTik 路由器遭遇加密劫持(cryptojacking )攻擊。攻擊者更改了了路由器配置,並通過路由器佔用使用者的 web 流量,注入 Coinhive 惡意程式碼並挖掘加密貨幣。這起大規模加密劫持主要利用的是 2018 年 4 月份 MikroTik 路由器中的 0-day 漏洞,最早從巴西發起,隨後蔓延到全球。據統計,共有 20 多萬 MikroTik 路由器遭到攻擊,且規模還可能會擴大。
詳文閱讀:
Quarkslab發現的三個Android藍芽元件漏洞詳情
Quarkslab的分析人員向Google報告了三個影響Android藍芽協議棧的漏洞。其中兩個影響到了處理L2CAP協議的程式碼,它們允許遠端攻擊者公開屬於com.android.bluetooth程序的記憶體內容。第三個漏洞是SMP協議實現中的帶外陣列索引錯誤。
詳文閱讀: