11选5彩票数以百万计的流媒体设备易受逆向网络

2018-06-21 12:43

三月份,艺术家和程序员Brannon Dorsey对一个叫做DNS重新绑定的反向网络攻击感兴趣,教他如何利用已知的浏览器弱点来非法访问控制和数据。这是研究人员多年来反复研究的一个弱点,这也是多尔西无法相信他所发现的原因之一。多尔西坐在他的芝加哥公寓,离密歇根湖有两个街区,他做了一个新发现的黑客技能:他试图攻击他拥有的设备。然而,多尔西并不是每次都被屏蔽,而是很快发现,他每天使用的媒体流和智能家居设备在DNS重新绑定攻击中都受到不同程度的攻击。他可以从他们那里收集到他从未预料到的各种数据。”“我是技术人员,但我不是信息安全专业人员,”多尔西说。我没有反转任何二进制文件或者做任何激烈的挖掘。我只是跟着我的好奇,突然发现了一些粗俗的狗屎。我只是坐在那里想:“我不能成为世界上唯一一个看到这一点的人。”多尔西在他自己的小玩意儿和其他朋友之间借钱,在谷歌家庭、ChrimeCaster、SoNOS Wi-Fi扬声器、RKU流媒体设备的每一个模型中都发现DNS重新绑定脆弱性。还有一些智能恒温器。多尔西的实验性攻击,他在星期二发表的研究中概述,并没有给他全王国的钥匙,但在每一种情况下,他可以获得更多的控制和提取更多的数据,而不是他本来应该能做到的。我只是跟踪我的好奇,突然我发现了一些粗略的狗屎。Brannon Dorsey举例说,在RoKu设备运行8或更低的RoKu设备上,多尔西发现攻击者可以使用Stroule的外部控制API来控制设备上的按钮和按键,访问DeVIC的输入。像加速度计、陀螺仪和磁强计这样的传感器,在设备上搜索内容,甚至启动应用程序。在SONOS Wi-Fi扬声器上,攻击者可以访问与扬声器连接的Wi-Fi网络的广泛信息,有助于映射网络属性和更广泛的侦察。通过攻击谷歌连接的设备中的公共API,黑客可以触发谷歌回家,ChrimeCad任意重新启动。这导致了本质上拒绝服务攻击,使得用户无法与他们的设备交互,或者在战略时期将其离线。攻击者还可以让谷歌回家和ChrimeCCAST,以了解他们连接到的Wi-Fi网络的信息,并将其与附近的Wi-Fi网络列表进行三角测量,以准确地定位设备。在DNS重新绑定攻击中,黑客利用浏览器如何实现Web协议的弱点。他们制作恶意网站,这些游戏可以保护信任保护,以阻止Web服务之间的未授权通信。从那里,攻击者使用诸如钓鱼或恶意软件的方法欺骗受害者点击链接到他们的站点,然后移动到非法访问任何控制和数据暴露在他们的设备或网络11选5彩票上。一个错误的点击或点击,攻击者可以接管你的智能设备。虽然DNS重新绑定源于一些基本问题,浏览器如何在网上调解信任关系,但站点和服务也可以使用诸如认证保护或HTTPS加密连接等相对简单的机制来限制它们的曝光。这可能是为什么这类攻击没有引起安全专业人员的持续兴趣或关注。但在过去的七个月中,人们对安全社区的理解越来越深刻,DNS重新绑定的bug可能代表比人们先前承认的更大范围的漏洞。谷歌项目零研究人员TaviS OrMaldiy最近在传输BitTorrent客户端发现了DNS重新绑定漏洞和暴雪视频游戏的更新机制,研究人员还发现了各种Ethunm钱包中的漏洞,潜在地暴露了人们的隐秘性。DNS重新绑定bug有一个“被开发者抛弃的历史,很多时候它被当作一个未解决的问题,”Ariel Zelivansky,一个安全公司TwitsLoCK的研究员,在二月的预警中写道DNS重新绑定漏洞的崛起。在多尔西研究这个主题的几个月里,另一位来自安全公司TrPixe,Craig Young的研究员也发现了谷歌HouthChina和ChrimeCad的bug,并在星期一公布了他的发现。这反映了互联网设计的一个基本特征:“约瑟夫潘托加,红色气球,这些漏洞的一个根本原因是,同一个Wi-Fi网络上的设备通常互相信任,因为它们都被接纳到同一个俱乐部。但是这个假设会导致意外暴露。网络上11选5彩票平台官网的其他设备所使用的通信信道也可能通过少量的操作被恶意网站访问恶意地访问。多尔西发现的许多bug可11选5彩票平台注册以通过向设备API添加基本身份验证机制来解决。这反映了互联网设计的一个基本特征:“物联网安全公司红气球研究科学家Joseph Pantoga说。”DNS重新绑定攻击在过去已经出现了很多次,但是在物联网设备中的新特性,包括地理定位和个人数据的收集,使得人们应该真正意识到这一点。这一问题被IAPI设备所加剧,这些IOS设备打算与网络上其他未经验证的设备进行通信。“谷歌、RoKu和SoNOS都已经修补或正在修补他们的设备操作系统,以堵塞多尔西描述的漏洞。RoKu发言人告诉有线电视网:“在最近意识到DNS重新绑定问题后,我们创建了一个软件补丁,现在正在向客户推出。”SONOS类似地补充说,“在了解DNS重新绑定攻击后,我们立即开始在七月的软件更新中推出一个补丁。”谷歌在一份声明中说,“我们知道该报告,并将在未来几周内推出修复方案”。E,专家注意到,在第一时间缺乏对这些bug的认识导致了数百万的设备在某种程度上是脆弱的,数百万人也更容易受到攻击。多尔西说,他希望他的研究能够提高人们对问题无处不在的认识。DNS重新绑定已经成为房间里的大象。大量的事情对它来说是脆弱的,它已经成为一个系统性的问题。所以最终一次一次接近供应商是解决不了问题的。整个行业需要知道检查和修复它。“由于国会的帮助,您的有线公司有合法的权利出售您的网页浏览数据,未经您的同意。这是如何保护你的数据不被人盯上的。CNMN收录全文2018篇。版权所有。在本网站的任何部分上使用和/或注册构成接受我们的用户协议(更新的5/25/18)和隐私策略和Cookie语句(更新5/25 / 18)。你的加利福尼亚隐私权。本网站的材料不得复制、分发、传送、缓存或以其他方式使用,除非事先书面同意。广告选择。

上一篇:豪登高亮
下一篇:没有了