原标题:McAfee:Belkin智慧插头含有远端程式攻击漏洞
图片来源:McAfee
McAfee△Labs本周指出,知名的电脑周边制造商Belkin所生产的智慧插头Wemo△Insight△Smart△Plug含有一缓冲区溢位漏洞,将允许骇客执行远端程式攻击。
Belkin除了制造电脑及手机的周边商品之外,也有少许的智慧家庭装置,如智慧开关或智慧插头,McAfee所测试的则是Wemo△Insight△Smart△Plug智慧插头,它是一个插座转接器,先插在传统插座上,再连结其它的家电,并以Wemo程式来控制Smart△Plug的供电与否。
Smart△Plug可计算家电的电力使用,可控制供电能力的Wemo还有自动化功能,能定时开启灯光或恒温器,或可启动“Away”模式,不定时地切换家里的电灯供电,让不在家的主人可以伪装屋内有人。一组两个的Wemo△Insight△Smart△Plug售价为74.99美元。
不过,McAfee发现Wemo△Insight△Smart△Plug的韧体含有编号为CVE-2018-6692的安全漏洞,这是一个存在于libUPnPHndlr.so函式库的缓冲区溢位漏洞,允许骇客自远端执行任意程式。
McAfee表示,如果该漏洞只会影响Wemo△Insight△Smart△Plug,那骇客顶多只能一直切换电源,但若该Smart△Plug连结了家中的Wi-Fi网络,骇客就能掌控家中的其它连网装置。
在McAfee所描述的攻击场景中,在成功入侵Wemo△Insight△Smart△Plug之后,可利用内建的UPnP函式库于路由器上建立一个后门通道,借以控制家中的所有连网装置,例如开启或关闭智慧电视,安装或移除电视上的应用程序,也能命令电视存取各种内容。
研究人员提醒,IoT装置的安全性经常被忽视的原因之一是它们通常只被用来执行简单的自动化功能,然而,他们所发现的漏洞却可能成为骇客进入家庭或企业网络的入口,IoT装置上所执行的作业系统应该也要具备与桌面作业系统同等级的安全保障。
McAfee已于今年5月将该漏洞提报给Belkin,但尚未被修补。
相关:
微软逐步淘汰Windows Phone 8.x或Windows 8/8.1程式,10月底将不再受理新程式
示意图,与新闻事件无关。 微软于周一(8/20)公布淘汰Microsoft△Store旧程式的时程表,宣布自今年的10月31日以后,Microsoft△Store将不再受理新的Windows△Phone△8.x或Windows△8/8.1程式,但开发人员可持续更
示意图,与新闻事件无关。 图片来源: 飞利浦 美国国土安全部旗下的工业控制系统网络紧急应变小组(ICS-CERT)周二警告,飞利浦IntelliSpace△Cardiovascular心血管影像及资讯管理系统出现两项漏洞,可能导致任意程
资安一周第5期:WordPress曝露于远端程式攻击风险中。处理器再爆L1TF漏洞,云端服务商纷纷进行修补
2009年曾有研究人员揭露PHP反序列化潜藏的风险,最近英国资安公司Secarma再揭露PHP的反序列化漏洞,成功开采该漏洞,可攻陷WordPress与Typo3内容管理平台,执行远端程式攻击。(图片来源:Secarma) 0816-0822一定
邪恶USB又出现了,只要一条USB充电线就能在PC上植入恶意程式
图片来源: Vincent△Yiu 斯圆安全(SYON△Security)本周对外展示了一个以USB充电线当作攻击媒介的USBHarpoon装置,在连上电脑之后,它能变身为人机介面,可输入必要的快捷键并击键,以在电脑上植入恶意程式。率先提
OpenSSL存在旁路攻击漏洞,光靠拦截手机电磁讯号就能取得金钥
示意图,与新闻事件无关。 美国乔治亚理工学院的安全研究人员近日揭露了OpenSSL的旁路攻击漏洞,可利用软件无线电装置来拦截手机的电磁讯号并汲取出金钥。OpenSSL为加密通讯协议SSL与TLS的开源版,能够防止窃听,也