首页
社区
课程
招聘
[讨论]为什么说物联网设备不安全?
发表于: 2018-3-19 21:39 4039

[讨论]为什么说物联网设备不安全?

2018-3-19 21:39
4039
本人是本科在读大三学生,最近想申请一个科创项目,是做物联网安全的,这几天也在t00ls论坛提了一些相关的问题,很遗憾,看到各位师傅们的回答,可以感觉到物联网安全确实是一片蓝海,,关键是根本不知道该怎么去研究。
突然想起之前给看雪智能硬件安全小组申请过组员(话说什么时候面试我呀),,于是来看雪问问各位师傅。
今天想到一个问题,为什么说物联网设备不安全,我这儿特指那些可以被远程控制的设备,他们基本上的原理就是发送引脚状态给云平台,然后云平台发给访问它的手机等设备,或者通过手机等设备把控制引脚状态的指令发给云平台,当物联网设备通过轮询机制或者其他的,发现信号量有变化便开始根据代码中的switch,if之类的语句去相应地控制其他设备。
那么问题就来了,除非你可以把云平台给黑了,否则作为非物联网设备所有者的你怎么能远程控制这些设备呢?
当然了,物联网僵尸网络中的设备和我这儿所说的设备不是同种类型的设备,它们应该是需要有公网ip的,才能被黑客远程访问并控制发动ddos,问题又来了,公网ip给普通计算机都不够用了,怎么会有那么多ip给物联网设备用呢。
求大佬解答或者说说自己的观点。

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (1)
雪    币: 62
活跃值: (27)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
我是物联网专业毕业生:第一,很多情况下,物联网设备,比如各类智能家居,各种盒子各种助手(包括之前爆出的半夜发出怪笑的玩意),它们通常工作于局域网下,通过路由进行联网以及控制,所以IP的问题虽然目前说各种不够用,但是暂时也还没轮到大规模的分给这些设备用,然后是黑云平台,假设某云平台对于指令的发送方没有做充足的身份验证,那么我们截获一次指令发送数据包,进行重放,或者其它符合指令操作的数据包,绕过了身份校验,那么云平台就刻意被欺骗并执行我们的指令,或者说,直接攻击物联网设备,通过在局域网对物联网设备进行攻击,比如一些未关闭的调试接口,最简单的弱口令,还有一些文件未授权访问,再比如二进制层面的缓冲区溢出,UAF,OOB等漏洞,也不一定说是要黑掉云平台,不过,撸掉云平台的也有
2018-3-19 23:36
0
游客
登录 | 注册 方可回帖
返回
//