三星、LG等智能电视收集敏感数据发给第三方

现在有这么多家庭拥有智能电视，越来越多的设备隐私问题的出现就不足为奇了。最近研究发现，即使处于静默状态的智能设备，仍在收集敏感数据并发送给Netflix的和谷歌等大公司。

据英国“ 金融时报”报道，来自东北大学和伦敦帝国理工学院的研究人员发现了几款智能电视，包括畅销品牌三星和LG，Roku和FireTV在向Netflix和第三方广告商发送位置和IP地址等数据。包括扬声器和摄像头在内的其他智能设备正在向包括微软和Spotify在内的“数十家第三方”发送用户数据。

详文阅读：

https://www.anquanke.com/post/id/187105

13家知名品牌的路由器出现漏洞

研究人员测试了13家知名厂商的的小型办公室/家庭路由器和网络附加存储设备，总共发现了125处漏洞。

据外媒报道，9月16日，独立安全评估者（Independent Security Evaluators）的研究人员发布相关报告，披露了13种品牌的小型办公室/家庭路由器和网络附加存储设备中的125处漏洞。受到影响厂家包括：巴比禄、群晖科技、铁威马、合勤科技、Drobo、华硕及其子公司华芸科技、希捷、QNAP、联想、美国网件、小米和Zioncom（TOTOLINK）。

报告指出，这些参与测试的设备都含有至少一个允许黑客进行远程shell访问，或管理界面访问的漏洞 （包括跨站点脚本漏洞、操作系统命令注入漏洞和SQL注入漏洞等）。其中，华芸 AS-602T、巴比禄 TeraStation TS5600D1206、铁威马 F2-420、Drobo 5N2、美国网件 Nighthawk R9000及TOTOLINKA 3002RU中的漏洞还允许黑客完全接管设备，且无需经过身份验证。

研究人员表示，与之前的类似调查相比，此次参与测试的设备多了一些安全机制，如ASLR、反逆向工程保护以及对HTTP请求的完整验证机制等。但是，许多测试设备仍缺少基本的Web应用程序保护系统，如CSRF令牌和浏览器安全标头等。

目前，大部分厂商都已对此做出回应，但仍有小部分厂商没有做出任何解释。

详文阅读：

http://www.51testing.com/html/93/n-4462493.html

某Telnet后门漏洞影响逾百万台物联网设备

据外媒报道，近日，研究人员在德国电子制造商Telestar Digital GmbH旗下产品发现了两个新漏洞（CVE-2019-13473和CVE-2019-13474）

据了解，黑客能够利用这些漏洞远程控制物联网设备的网络信号，并更改设备名称、窃取音频文件等。受影响的产品为Telestar公司的Imperial＆DabmanI和D系列的联网设备，涉及设备的总数已逾百万台。

研究人员发现，在一个与Telestar设备连接的服务器上存在异常：其23号端口有一项未知的Telnet服务。由于该端口正处于活跃状态，且密码安全性不强，黑客能够快速与其建立网络连接，并暴力（brute-force）破解无线电信号。一旦成功侵入，黑客将能够编辑和访问与服务器相连设备上的所有内容。

专家表示，物联网设备上的网络安全隐患应得到重视。目前，Telestar DigitalGmbH已经发布了安全补丁。

详文阅读：

http://mini.eastday.com/mobile/190911195223336.html

2013年来物联网设备安全漏洞翻一番

研究公司Independent Security Evaluator（ISE）在2013年发表了一项研究，“SOHOpelesslyBroken 1.0”。该研究调查了13种SOHO无线路由器和NAS设备的漏洞，其中包括Belkin、华硕、TP-Link和Linksys等供应商设备中发现的52个漏洞。如今的后续研究结果显示，2013年接受检测的相同数量的设备现在总共受到125个漏洞的影响。

在他们的最新研究中，有13种现代物联网设备接受了测试。在13个案例中的12个案例中，研究人员设法获得了远程根级访问。发现的其他漏洞包括缓冲区溢出问题，命令注入安全漏洞和跨站点脚本（XSS）错误。

研究人员向设备制造商披露了所有的漏洞。大多数公司已经承认了这个问题，正在努力解决这些漏洞。

ISE的研究人员Rick Ramgattie称，研究结果表明，企业和家庭仍然容易受到攻击，这可能导致严重的破坏，这些问题在任何当前的web应用程序中都是完全不可接受的。今天，安全专业人员和开发人员能够检测和修复大多数这类问题，这些问题是在六年前发现、利用和披露的。但是现在这些漏洞仍然出现在物联网设备中。

详文阅读：

http://baijiahao.baidu.com/s?id=1645461773215534283&wfr=spider&for=pc

三星：20 多处安全漏洞影响所有Galaxy 旗舰机型

据国外媒体报道，三星日前证实，发现多处安全漏洞影响Galaxy S8、S9、S10、S10e、S10Plus、S105G、Note9、Note10和Note10Plus等型号手机。

这其中，包括一个非常严重的漏洞(critical vulnerability)，以及三个被评为“高危”(high)的漏洞。整体而言，它们涉及到约21个安全问题，其中17个与三星“One”用户界面有关，4个与Android有关。

关于Android的漏洞，谷歌上周已经公布，攻击者正利用谷歌Android移动操作系统中的“零日漏洞”进行攻击，该漏洞可以让他们完全控制至少18种不同型号的手机，包括四个型号的Pixel手机，以及三星Galaxy S7、S8和S9。

至于三星的Galaxy特定安全警告，三星最新的安全维护版本(SMR)现已开始向所有Galaxy设备用户推出。10月份的SMR包括来自谷歌的安全补丁，这些补丁会影响Galaxy10用户以及使用三星早期设备的用户。

此外，还有许多漏洞影响Galaxy8和Galaxy9设备用户。这其中，有一个Galaxy9漏洞被评级为“非常严重”，对Galaxy S9和Note9都有影响。目前，Galaxy9销量约为3000万部，而GalaxyNote9销量约为1000万部，意味着大约有4000万用户受该漏洞影响。

详文阅读：

http://hackernews.cc/archives/27663