-
-
安全公司发现智能家居交换机存在漏洞
-
发表于: 2015-8-4 01:11 1704
-
新闻链接:http://www.seehand.com/news/863.html
新闻时间:2015年08月03日
新闻正文:一项分析指出,安全公司Tripwire发现,三个流行的交换器存在许多漏洞,会受到攻击者攻击。
安全公司Tripwire称,一项针对流行的三个智能家居交换机的分析披露了这些产品中存在许多漏洞,这些漏洞会被攻击者利用,通过恶意网站或恶意应用来获得对交换机的控制权。
Tripwire公司测试了SmartThings、Vera Control和Wink三家公司制造的智能家居控制设备,发现了危险的漏洞,能让攻击者窃听设备的通讯,或者,在某些情况下能够控制交换机。该公司从2014年12月份开始研究这些设备,并且很快地发现了安全问题,例如向Wink Hub注入命令的能力,然后就能赋予攻击者root权限。
“不用费多大的劲,我们在所有产品中发现了漏洞,”Tripwire的漏洞和披露研究团队(VERT)的安全研究员Craig Young告诉eWEEK。
上周,该公司发布了一个视频向消费者解释该问题。在6月份,Tripwire公司在欧洲的一次安全会议上公布了研究的许多部分,并且计划在接下去几周更详细地公布这些问题,Tripwire的发言人说道。
Tripwire发现,Wink Hub可以通过一系列SQL注入漏洞被攻陷,而且攻击者一旦获得控制,他们可以向家里的其他智能设备发出命令,从而访问无线网络或者加载一个后门。据Young称,Wink立即对该安全问题报告做出了回应,并且已经发布了一项更新。
Vera Control公司制造的交换机存在跨站点请求伪造的问题,如果在同一网络的用户查看了攻击者控制的Web内容,就会允许攻击者向该交换机发送命令。由于Vera Control公司尚未修复漏洞,Tripwire不会公布漏洞的详情,但是建议用户开启“保护Vera”选项。
SmartThings交换机的安全问题最小,Young说。该问题会导致某些情形下的窃听,他说。
由于智能交换机使用嵌入式硬件,它们通常比计算机系统的内置安全措施更少。“我们在低成本嵌入设备行业的任何错误都可以成为大错误,”Young说道,“你没有现代操作系统所具有的现代保护功能可以去保护设备和用户。”
此外,许多现在可用产品是由创业公司制造的,这些创业公司大安全设备的生产上并没有多少经验。
Tripwire公司建议用户将设备更新至最新的固件,并且将这些设备连接至单独的网络,从而与通常连接至因特网的计算机网络分开。
“这不是那种你想要仅安装并忘却的技术,”Young说,“这不仅适用于早期采用者,但尚不适用于主流用户。”
Tripwire将这些安全漏洞告知了该三个厂商。其中两个公司——Wink和SmartThings——已经发布了漏洞补丁。
新闻时间:2015年08月03日
新闻正文:一项分析指出,安全公司Tripwire发现,三个流行的交换器存在许多漏洞,会受到攻击者攻击。
安全公司Tripwire称,一项针对流行的三个智能家居交换机的分析披露了这些产品中存在许多漏洞,这些漏洞会被攻击者利用,通过恶意网站或恶意应用来获得对交换机的控制权。
Tripwire公司测试了SmartThings、Vera Control和Wink三家公司制造的智能家居控制设备,发现了危险的漏洞,能让攻击者窃听设备的通讯,或者,在某些情况下能够控制交换机。该公司从2014年12月份开始研究这些设备,并且很快地发现了安全问题,例如向Wink Hub注入命令的能力,然后就能赋予攻击者root权限。
“不用费多大的劲,我们在所有产品中发现了漏洞,”Tripwire的漏洞和披露研究团队(VERT)的安全研究员Craig Young告诉eWEEK。
上周,该公司发布了一个视频向消费者解释该问题。在6月份,Tripwire公司在欧洲的一次安全会议上公布了研究的许多部分,并且计划在接下去几周更详细地公布这些问题,Tripwire的发言人说道。
Tripwire发现,Wink Hub可以通过一系列SQL注入漏洞被攻陷,而且攻击者一旦获得控制,他们可以向家里的其他智能设备发出命令,从而访问无线网络或者加载一个后门。据Young称,Wink立即对该安全问题报告做出了回应,并且已经发布了一项更新。
Vera Control公司制造的交换机存在跨站点请求伪造的问题,如果在同一网络的用户查看了攻击者控制的Web内容,就会允许攻击者向该交换机发送命令。由于Vera Control公司尚未修复漏洞,Tripwire不会公布漏洞的详情,但是建议用户开启“保护Vera”选项。
SmartThings交换机的安全问题最小,Young说。该问题会导致某些情形下的窃听,他说。
由于智能交换机使用嵌入式硬件,它们通常比计算机系统的内置安全措施更少。“我们在低成本嵌入设备行业的任何错误都可以成为大错误,”Young说道,“你没有现代操作系统所具有的现代保护功能可以去保护设备和用户。”
此外,许多现在可用产品是由创业公司制造的,这些创业公司大安全设备的生产上并没有多少经验。
Tripwire公司建议用户将设备更新至最新的固件,并且将这些设备连接至单独的网络,从而与通常连接至因特网的计算机网络分开。
“这不是那种你想要仅安装并忘却的技术,”Young说,“这不仅适用于早期采用者,但尚不适用于主流用户。”
Tripwire将这些安全漏洞告知了该三个厂商。其中两个公司——Wink和SmartThings——已经发布了漏洞补丁。
赞赏
看原图
赞赏
雪币:
留言: