网络空间安全:行业资讯、技术分享、法规研讨、趋势分析……

“游侠安全网”创建了网络安全从业者QQ大群(群号:1255197) ,欢迎各位同仁加入!有其它问题如合作等,请联系站长“网路游侠”,QQ:55984512


这家叫“麦咖啡”的公司不卖咖啡,但它破解了你的咖啡机!

2019-04-04 16:27 推荐: 浏览: 27 views 字号:

摘要: 日常生活中越来越多的的设备“需要”接入互联网,你的WiFi咖啡机被黑,不再是玩笑! 5G正加速向我们走来,安全性的担忧也一直是绕不开的话题。 近日,安全服务提供商McAfee的高级威胁研究团队公布了物联网设备上的2个新漏洞,分别是知名智能锁BoxLock和美国...

日常生活中越来越多的的设备“需要”接入互联网,你的WiFi咖啡机被黑,不再是玩笑!

5G正加速向我们走来,安全性的担忧也一直是绕不开的话题。

近日,安全服务提供商McAfee的高级威胁研究团队公布了物联网设备上的2个新漏洞,分别是知名智能锁BoxLock和美国咖啡机第一品牌Mr. Coffee的新漏洞,可以让网络犯罪分子有机可乘,使得消费者的个人数据和家庭网络被非法访问。McAfee提醒消费者在接入以上两个设备之前,必须知晓其可能带来的安全风险。

1、 BoxLock安全漏洞

BoxLock是一种保护快递交货安全的智能挂锁,由硬化钢锁扣、扫描按钮、防水防晒外壳、电池、USB充电口、扫描器5部分组成,通过扫描有效的条形码开锁。

它存在一个漏洞,让黑客可以远程解锁。研究人员成功使用蓝牙低功耗(BLE)内置条码扫描仪打开BoxLock,这是一种在物联网和智能设备中普遍使用的无线技术。研究人员表示,用来发送蓝牙GATT命令的手机从未连接过BoxLock,也没有安装BoxLock应用程序,但它能解锁BoxLock,这不得不引起制造商的重视。

漏洞披露对任何公司都是具有挑战性的问题。研究人员十分肯定BoxLock做法,收到消息后,BoxLock迅速回应并认可研究团队的发现,着手修复漏洞。

2、Mr. Coffee安全漏洞

在MWC上公布的第2个漏洞是Mr.Coffee的安全漏洞:Mr. Coffee智能咖啡机为黑客提供了进入家庭网络的后门。Mr. Coffee智能咖啡机是指Mr. Coffee和贝尔金联手推出一款WiFi咖啡机,用户可以在手机或平板电脑上使用贝尔金WeMo应用程序控制该款咖啡机。

研究人员表示,黑客可以入侵使用WeMo平台的Mr. Coffee咖啡机,更改冲泡计划,甚至能够利用固件中的漏洞写入新的指令,据称这是代码问题引发的漏洞,由缺乏输入过滤和验证的代码策略导致。

研究人员表示,该漏洞让入侵者可以上传任何模板,并让能顺利通过所有WeMo验证步骤。研究人员成功添加了一个名为“hack”的新模板,并在模板中添加了一个代码块来下载和执行shell脚本。

现在,只需坐下来等待咖啡机(在我指定的时间延迟)连接到我的电脑,下载我的shell脚本并运行它。一切运行过程都符合预期。此漏洞要求入侵者访问与咖啡机所在的同一网络。根据用户密码的复杂程度以及当今的计算能力,破解WiFi是一件轻而易举的事。

Mr. Coffee详细破解过程如下:

https://securingtomorrow.mcafee.com/other-blogs/mcafee-labs/your-smart-coffee-maker-is-brewing-up-trouble/

 

结语

这两个漏洞都表明,漏洞利用有时候比想象的简单得多,并不用花费多大精力,对黑客来说更是小菜一碟的事。即使联网设备不包含敏感数据且仅限于本地网络,也不能避免恶意黑客的攻击。联网智能设备是5G时代的最易受攻击的目标,因为从安全的角度来看,这些设备往往被忽视,并且可以为您的家庭或企业网络提供简单且不受监控的中介点。

根据傻蛋联网设备搜索系统,全球联网设备的分布如下图(颜色越深,表示联网设备分布越密集),中国、美国拥有的联网设备数均超过了全球的10%。

McAfee研究员兼首席科学家Raj Samani在2019 MWC上表示:“网络罪犯是无处不在并且无孔不入的,只要我们继续将设备连接到互联网,黑客就会继续寻找利用漏洞的方法。”

因此,这要求物联网设备供应商与专业安全研究人员共同致力于保障产品的安全性,以降低消费者使用时的安全风险。

对于使用连接设备的消费者和制造他们的企业,漏洞披露可能会令人恐慌,然而,这个过程是创造更安全未来的必经之路。网络安全研究人员,监管单位、企业、消费者共同努力揭露并消除这些漏洞,方能使我们领先于犯罪。

 

部分文字、图片来自网络,如涉及侵权,请及时与我们联系,我们会在第一时间删除或处理侵权内容。电话:400-869-9193  负责人:张明

 

及时掌握网络安全态势  尽在傻蛋联网设备搜索系统

【网络安全监管单位】免费试用→→请关注微信公众号:安数网络

更多安全资讯请关注:

微信公众号 安数网络;新浪微博 @傻蛋搜索

联系站长租广告位!

中国首席信息安全官


关闭


关闭