您当前的位置:首页 > 指南 > 正文

Kilbride说要避免任何不必要的远程功能 并保持最新的更新

导读: 这是2017年7月,安全漏洞报道继续以固件这个词作为关键词之一。这次是什么时候?Segway / Ninebot MiniPRO是由IOActive Labs的安全研究...

这是2017年7月,安全漏洞报道继续以“固件”这个词作为关键词之一。这次是什么时候?

Segway / Ninebot MiniPRO是由IOActive Labs的安全研究人员发现的,可以被远程攻击和控制。

与此同时,IOActive披露了Segway / Ninebot的漏洞。该公司回应。它发布了一个新版本,以解决已发现的一些问题,周三报道了IOActive,并向IOActive通报了修复。

“好消息,” 连线中的 Lily Newman表示,IOActive 在1月份披露了这些漏洞并且“该公司在4月的应用更新中解决了大部分问题。”

如果你不熟悉这个赛格威MiniPRO,赛格威已经推出了功能为其版本气垫板的叫MiniPRO,阿尔弗雷德·吴在CNET,可以让您通过蓝牙自动平衡滑板车连接到您的手机,并通过远程控制机器说一个应用程序

实验室发布了一个视频,解释了这些漏洞是如何被无线利用的。实验室团队设置场景以显示通过不同类型的攻击可能发生的情况。

“当我开始进一步研究时,我了解到规则现在要求悬浮板满足某些机械和电气规格,以防止电池火灾和各种​​机械故障;但是,目前没有旨在确保固件完整性和验证的规定,即使固件也是系统安全的一部分。“

Sophos的Naked Security表示,研究人员发现,对MiniPRO的一个疏忽是每个MiniPRO都有相同的PIN码。

但是让Thomas Kilbride在IOActive网站的博客中解释道:

“使用协议分析,我确定我不需要使用骑手的PIN(个人识别码)来建立连接。即使骑手可以设置PIN,但悬浮滑板实际上并没有改变它的默认引脚'000000。 “

他在绕过安全控制的同时通过蓝牙连接。

关于应用程序,他在视频中说,有了它可以绕过安全机制 - 等等,让我们放大一下它的外观:他说攻击者可以在骑车人运动时远程禁用电机。

此外,在一个场景中,设备显示为锁定然后随后逃跑。换句话说,攻击者能够关闭它们,但也驱逐它们。

反过来,虫子可以武器化。

该视频称“附近的骑手”功能揭示了附近骑手的位置。在他的博客中,他说他确定该地区的联系车手使用他们的手机GPS进行索引; 因此,他说,每个骑手的位置都是公开发布的。

Kilbride对制造商的建议:使用蓝牙认证; 加密固件。在应用之前检查固件的真实性。

此外,隐藏骑手的位置以免公开观看。这可以防止攻击者轻易地像他一样武器化攻击。

给消费者的建议?Kilbride说要避免任何不必要的远程功能,并保持最新的更新

在IOActive的周三新闻稿中:“IOActive披露了Segway / Ninebot的漏洞,该公司随后发布了一个新版本,以解决一些已发现的问题并告知IOActive修复程序。”


声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,谢谢。

上一篇: 派特灵使用方法及疗程 派特灵服务中心

下一篇: 陈忠和的第二任妻子照片 陈忠和的第二任妻子



推荐阅读