青莲晚报(第六十七期)| 物联网安全多知道

当今社会物联网设备已经逐步渗透到人们生产生活的方方面面,为人们及时了解自己周围环境以及辅助日常工作带来便利。但随着互联紧密度的增高,物联网设备的安全性问题也逐渐影响到人们的正常生活,甚至生命安全,物联网设备安全不容小觑。 以下为近日的物联网安全新闻内容。

微信公众号-青莲晚报封面图-64.jpg

黑客攻破美一女孩房间安全摄像头并称自己是圣诞老人


据外媒报道,有人黑进了美国密西西比一户人家的环形安全摄像头,并且还用扬声器骚扰这家的8岁女孩。这名黑客告诉她自己是圣诞老人并还怂恿她破坏房间。这是近期发生的几起黑客在用户不知情的情况下登陆其Ring账号的攻击事件之一。

Ashley LeMay近日告诉媒体,她在自己女儿房间里安装了摄像头,这样她就可以在上夜班时照看她们。“在我买到它们之前做了很多研究。你知道,我真的觉得它是安全的。”

然而这次入侵就发生在她安装这款摄像头四天后,当时她正在出差,她的丈夫在家带**。

当她的女儿Alyssa听到自己卧室传出来声音后于是走进去看看究竟是什么。

从当事人分享的视频可以看到,Alyssa非常紧张地站在自己的房间里,黑客则远程播放了来自恐怖片《潜伏》里的歌曲《Tiptoe through the Tulips》。

“谁在那里,”Alyssa问道。

“我是你最好的朋友。我是圣诞老人。我是圣诞老人。难道你不想成为我最好的朋友吗?”黑客说道。

之后,这个匿名黑客继续骚扰Alyssa、嘲笑她并怂恿她破坏房间。

对此,这款摄像头厂商Ring在提供给媒体的声明中指出,黑客并不是通过数据泄露或破坏Ring的安全获取信息的,相反,这个人可能利用了这户人家账户的安全性。

根据声明,Ring用户经常会使用相同的用户名和密码来注册不同账户和订阅服务。“作为预防措施,我们强烈并公开鼓励所有Ring用户在其Ring账户上启用双重认证、添加共享用户(而不是共享登录凭证)、使用高安全性密码并定期更换密码。”

Ashley表示,她还没有在她的设备上设置双重认证。

详文阅读:

http://hackernews.cc/archives/28809

 

安全研究人员发现亚马逊上销售的儿童智能手表存在严重安全漏洞


安全公司Rapid7披露了在亚马逊上出售的三款儿童智能手表存在安全漏洞,这三款儿童智能手表是Duiwoim,Jsbaby和Smarturtle,价格不到40美元。它们被用作跟踪设备,以跟踪**并允许父母向**发送消息或者打电话。

但是Rapid7的安全研究人员发现,与佩戴手表的**保持联系的不仅仅是父母,因为它们内建的过滤器本来只允许白名单上的电话号码与手表联系,但是Rapid7发现此过滤器根本不起作用。

这些手表还通过短信接受了配置命令,这意味着潜在的黑客可以更改手表上的设置,从而使**处于危险之中。研究人员说,这三款手表都使用相同的软件,因此,这三款手表的漏洞会全面扩散。

Rapid7的研究人员还发现,这三款智能手表的默认密码完全相同,它们都是123456。Rapid7说,人们不太可能更改此密码,设备甚至不会告诉用户密码存在或如何更改。研究人员警告说,凭借这种简单的密码和通过短信更改配置的能力,潜在的黑客可以接管设备并跟踪**,甚至将智能手表与自己的手机配对。

Rapid7发现的另一个明显缺陷是,无法联系三款智能手表的制造商。 Rapid7的研究人员没有任何办法与制造商取得联系,因此担心无法解决这些漏洞。亚马逊目前没有回应是否要从商店中下架这三款儿童智能手表。

详文阅读:

http://hackernews.cc/archives/28753

  

小米米家摄像头被爆安全漏洞:谷歌已紧急禁止集成功能

近期,不时有报道称“智能”安全摄像头出现了一些愚蠢的安全问题,而绑定谷歌账号的小米米家安全摄像头发现的严重漏洞更令人担忧。援引外媒Android Police报道,由于小米米家摄像头存在的风险隐患,目前谷歌官方已经宣布在Google Home、Google Assistant设备上禁止绑定小米的集成功能。

谷歌阻止小米访问Assistant: https://www.bilibili.com/video/av81851575?zw

据悉,这个问题最初是由Reddit社区用户/r/Dio-V发现并分享的,他表示他自家的小米米家1080P Smart IP安全摄像头,会通过小米的Mi Home应用/服务连接绑定谷歌账号从而使用Google /Nest设备。Dio-V表示Nest Hub和米家摄像头都是从AliExpress新购买的,摄像头正在运行固件版本3.5.1_00.66。

详文阅读:

http://hackernews.cc/archives/29111

 

物联网供应商 Wyze 确认服务器发生泄露

据外媒ZDNet报道,Wyze是一家销售安全设备(如安全摄像头、智能插头,智能灯泡和智能门锁)的公司,该公司周日证实发生了服务器泄露,大约240万客户的详细信息遭泄露。Wyze联合创始人在圣诞节期间发表的论坛帖子中说,泄露是在内部数据库意外在线暴露之后发生的。

该公司表示,公开的数据库-一个Elasticsearch系统-不是生产系统;但是,服务器正在存储有效的用户数据。Elasticsearch服务器是一种用于支持超快速搜索查询的技术,旨在帮助该公司对大量用户数据进行分类。该公司表示:

 ‘’为了帮助管理Wyze的快速增长,我们最近启动了一个新的内部项目,以寻找更好的方法来衡量基本的业务指标,例如设备激活,连接失败率等。

我们从主要生产服务器复制了一些数据,并将其放入更灵活的数据库中,以便于查询。最初创建此新数据表时,该表受到了保护。但是,Wyze员工在12月4日使用此数据库时犯了一个错误,并且该数据的先前安全协议已删除。我们仍在调查此事件,以找出原因和发生方式。”

泄露的服务器是由网络安全咨询公司TwelveSecurity发现并记录的,并由IPVM(一个致力于视频监控产品的博客)的记者进行了独立验证。

Wyze公司对Twelve Security和IPVM如何处理数据泄漏公开表示不满,在公开调查结果之前,Wyze仅用了14分钟的时间解决了泄露问题。

详文阅读:

http://hackernews.cc/archives/29091

美国Ruckus无线路由器中发现3个严重漏洞 被黑客远程控制路由器


近日,有外媒报道称,美国无线系统供应商RuckusWireless公司的安全研究人员发现,其无线路由器中存在3个严重的远程代码执行漏洞,可被黑客用于绕过路由器并对其进行远程控制。

据了解,这些漏洞是在基于Web的界面中发现的。通过这些漏洞,黑客可以在路由器上获得root用户访问权限,无需密码即可利用路由器,并完全控制Internet。但研究人员表示,想要完全利用这些漏洞其实是非常困难的,因为需要对3个漏洞进行协调。

通过对路由器进行控制,攻击者可以监视到企业网络上未加密的流量,然后将用户重定向到包含恶意软件的网站中,并使用网络钓鱼攻击窃取用户名和密码等敏感信息。

Ruckus Wireless是一家总部位于硅谷的移动网络无线系统供应商。公司面向全球移动运营商、宽带服务提供商和企业用户。销售、制造各种室内外的智能Wi-Fi产品。到目前为止,公司已经在全球范围发售了超过200万台智能Wi-Fi系统。

目前,该公司已发布了补丁,以修补漏洞。并强烈建议其客户及时更新。

详文阅读:

http://mini.eastday.com/a/200103093854236.html

取消
Loading...

相关推荐

填写个人信息

姓名
电话
邮箱
公司
行业
职位
css.php