IOT应用程序纰漏会使设备打开攻击

发布时间：2022-02-10 09:06:56 所属栏目：要闻来源：互联网

导读：企业和消费者有权了解与互联网连接的设备的安全姿势，弥补事物互联网（IOT） - 以及制造商应负责负责。这是贝拉鲁加网络的安全研究人员的看法，审查了互联网连接的安全摄像机，以说明IoT凭证妥协的不断增长的安全威胁。该研究表明，可以利用IOT设备的Web和

企业和消费者有权了解与互联网连接的设备的安全姿势，弥补事物互联网（IOT） - 以及制造商应负责负责。

这是贝拉鲁加网络的安全研究人员的看法，审查了互联网连接的安全摄像机，以说明IoT凭证妥协的不断增长的安全威胁。

该研究表明，可以利用IOT设备的Web和移动应用程序中的漏洞来窃取凭证并泄露相关的设备。如果没有任何直接连接设备本身，该团队能够识别相机的Web应用程序和移动应用程序生态系统中的多个漏洞。

研究人员表示，这种威胁可能会影响其他类型的IOT设备，因为它利用了设备与云通信的方式。出于这个原因，Barracuda认为IOT产品应该不断得分，并且他们的安全姿势与机动车安全评级相同的方式出版，以使企业和消费者在选择产品时做出明智的决策。

研究人员注意到，尽管有所改善是为了响应关于物联网设备的安全风险而令人担忧的疑虑，但仍然存在漏洞。

特别是，Barracuda Labs团队突出了IoT凭证妥协的威胁，通过显示攻击者可以在Web应用程序中使用漏洞以及某些物联网设备使用的移动应用程序来获取凭据，然后可以用于查看视频源，设置/接收/删除警报，从云存储中删除已保存的视频片段，并读取帐户信息。攻击者还可以使用凭据将自己的固件更新推向设备，更改其功能并使用受损设备攻击同一网络上的其他设备。

由研究人员确定的主要漏洞包括：移动应用程序忽略了服务器证书有效性。在Web应用程序中可以进行跨站点脚本（XSS）攻击。在云服务器中，文件目录遍历。用户控件设备更新链接。设备更新未签名。设备忽略服务器证书有效性。
研究人员警告说，如果攻击者可以通过使用受损或敌对网络拦截到移动应用程序的流量，可以轻松获取用户密码。

当受害者使用手机连接到受损/敌对网络时，连接的相机应用程序将尝试通过HTTPS连接到供应商的服务器。敌对/受损网络将路由连接到攻击者的服务器，它将使用自己的SSL证书来代理供应商服务器的通信。攻击者的服务器现在拥有一个Unstally，MD5散列的用户密码。攻击者还可以篡改供应商服务器和应用程序之间的通信。从Web应用程序获取凭据依赖于允许用户与其他用户共享连接相机的设备访问的功能。要共享设备，接收器需要与IOT供应商拥有有效的帐户，并且发件人需要知道接收者的用户名，这会发生电子邮件地址。然后，攻击者将在设备名称中嵌入XSS漏洞，然后与受害者共享该设备。

一旦受害者使用Web应用程序登录他的帐户，XSS漏洞就会使用攻击者执行并共享访问令牌（在Web App上存储为变量）。通过该访问令牌，攻击者可以访问受害者的帐户和所有注册设备。

通过这项研究，Barracuda Labs团队设法损害了互联网连接的相机，而不会与设备本身直接连接。

（编辑：开发网_开封站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!