首页 科技正文

皇冠私网平台出租:智慧照明缺陷:Check Point发现骇客能够透过灯泡攻击企业和家庭网路

约稿员 科技 2020-02-16 35 0
小米云端服务推「超长命」会员方案,一次缴60年会费一口价台币6870元

Check Point 的威胁情报部门 Check Point Research 今日揭露智慧照明的漏洞,骇客可利用此漏洞接管智慧灯泡及其桥接器,进而将勒索软体或其他恶意软体传播到企业和家庭网路。



Check Point 研究人员展示了攻击者如何透过智慧灯泡及其桥接器,对物联网中的家庭、企业甚至是智慧城市中的传统电脑网路发起攻击,并重点研究了市场领先的飞利浦 Hue 智慧灯泡和桥接器,进而发现其中的漏洞CVE-2020-6007,允许攻击者透过攻击使用 ZigBee 低功耗无线协定来控制物联网的设备从远端侵入网路。



2017年对ZigBee控制智慧灯泡安全性的一项分析显示,研究人员能够控制连网Hue灯泡,安装恶意韧体进而传播至相近智慧灯泡网路。利用这一遗留漏洞,Check Point 更进一步使用 Hue 灯泡作为平台来接管灯泡的桥接器,最终攻击目标的电脑网路。新一代 Hue 灯泡现已修复此漏洞。





攻击场景如下:

居家、户外同享好音质!Bose 可携式智慧扬声器在台上市,支援 AirPlay 2 与 Spotify Connect



  1. 攻击者控制灯泡的颜色或亮度,让使用者误以为灯泡出现故障。该灯泡在使用者的App中显示为「无法连接」,让使用者尝试对其进行「重置」。
  2. 重置灯泡的唯一方法是将它从 App 中删除,然后命令桥接器重新连接灯泡。
  3. 桥接器连接受攻击的灯泡,使用者将其重新新增到网路中。
  4. 攻击者控制装有更新韧体的灯泡并使用 ZigBee 协定漏洞向桥接器发送大量资料,以触发堆积缓冲区溢位(heap-based buffer overflow)。此外,这些资料还允许攻击者在桥接器上安装恶意韧体,进而连接到目标企业或家庭网路。
  5. 恶意韧体连接回攻击者,并借助已知漏洞(如 EternalBlue),透过桥接器侵入目标 IP 网路,传播勒索软体或间谍软体。

Check Point Research 网路研究总监 Yaniv Balmas 表示:「许多人都知道物联网设备可能带来安全上的风险,但这项研究表明,即使是最不起眼的设备(例如灯泡)也会被骇客用于接管网路或恶意软体植入。因此,企业和个人必须使用最新修补程式更新设备,并将其与网路上的其他设备隔离,以限制恶意软体的潜在传播,从而保护自身免于潜在攻击的威胁。在复杂的第五代攻击环境中,我们不能忽视任何连网设备的安全性。」



这项研究在特拉维夫大学 Check Point 资讯安全研究所 (CPIIS) 的帮助下完成,并于 2019 年 11 月向飞利浦和 Signify(Philips Hue品牌母公司)揭露。Signify 确认其产品存在漏洞后开发了修补程式(韧体1935144040),该修补程式已透过自动更新升级相关产品。Check Point 建议此产品使用者主动检查是否已自动更新,以确保产品升级至最新韧体。



Philips Hue 技术长 George Yianni 表示:「我们承诺尽一切努力确保产品安全,保护使用者隐私不受侵犯。我们衷心感谢Check Point的揭露及合作,这使我们能及时推出必要的修补程式进而避免使用者可能面临的风险。」



Shares



Facebook LINE Twitter-------------------------

Sunbet

Sunbet重要的事情说三次:不需要注册!不需要注册!不需要注册!各大视频平台VIP电影、连续剧、综艺、动漫等大片免费观看,无需要注册会员,播放没有任何广告,纯公益平台!

版权声明

本文仅代表作者观点,
不代表本站许昌瑾尚添华生物科技有限公司资讯网的立场。
本文系作者授权发表,未经许可,不得转载。

评论

好文推荐

站点信息

  • 文章总数:2154
  • 页面总数:0
  • 分类总数:9
  • 标签总数:805
  • 评论总数:20
  • 浏览总数:337309