中国电子产业网科技
设为首页 收藏本站
中国电子产业网科技
未配置的物联网是一种安全风险,警告研究员
董事会需要在网络防御中成为积极的合作伙伴
Microsoft为免费办公室应用程序查看器设置截止日期
与DAAS与设备管理保持步伐
聪明的外屏静态可以保持老年人安全
欢迎来到谷歌生态系统的时代
MobileRion将Apple安全性以及支持iOS 11
Lyft致力于使用AWS进行“全押”以支持自动车辆推动
Intel和Microsoft-Qualcomm在Windows 10 Arm仿真移动方面处于赔率
ICO头仍然位于DataiQ数据领导人列表中的前三个
苹果公司应该收购Shazam的10个原因
Win10秋季创作者更新的快速岩石推出
IR35改革:承包商缺乏对私营部门的信心来管理4月2020年4月的规则变革
Apple,iOS和IBM正在转变零售,一次一家商店
Zoho的最新音高:每位用户每天1美元运行整个业务
为什么CIO需要为Windows 7终结桌面桌面
凝聚力为分析和应用程序开辟了备份数据
购买懈怠可以给亚马逊另一个企业返回
Google通过HTC交易收紧Android硬件掌握
为什么Apple的App Store为您的企业提供良好的业务
Natwest推出生物识别卡飞行员
谷歌在未来的操作系统中放了一点苹果的迅速
Microsoft在一个巨大的忽视市场上的目标365 - 前线工人
Mingis关于Tech:移动设备管理的字母表汤
谷歌的像素'销售号码'不告诉整个故事
水彩世界数字“照片”的相机年龄的年龄
英特尔为AI,5G和新的PC平台读取10nm芯片
CIO采访:Darren Curry,CDO,NHS商业服务权威
Android vs IOS安全性:哪个更好?
英国科技公司赞成第二次公民投票,如下介绍Brexit Stalemate
美国问题应急指令停止DNS劫持
Microsoft计划用团队替换Skype进行业务
英特尔的新AI首席执行官说,AI的未来5年将是狂热的
2018年十大信息管理故事
基于机器学习的威胁检测即将到来智能手机
华为云在云竞争中占据新加坡地区
2018年十大CIO访谈
IBM希望让碉堡足够好吃
赛门铁克将其问题SSL单位销售给Digicert以1亿美元
EE和Virgin Media罚款以打破消费者保护规则
不要使用Windows 10在您的Android手机上移动数据
数据卷设置为175zb,构造转移到云
想象力想要为智能手机筹码添加智能
Slack的新共享渠道功能旨在加强其企业推动
Apple用自己的消息机器人接受Facebook
Powermat升级到15W无线充电,支持Apple的新iPhone
用户行为分析添加新洞察力
大鼠和Mimikatz在顶级公开可用的黑客工具中
大多数英国零售商计划致电网络安全
英国贸易部门的风险GDPR罚款贫困数据处置
您的位置:首页 >科技 > 物联科技 >

未配置的物联网是一种安全风险,警告研究员

2021-08-20 10:44:15 [来源]:

不应忽视互联网连接的设备作为安全风险,警告Security研究员Ken Munro,高级伴侣,伦理黑客公司笔测试合作伙伴,专门从事事物互联网(IOT)设备的安全性。

“没有康颇的物联网设备是危险的,因为它们有效地用作开放,未加密的无线接入点,可能为黑客提供了一种造成中断或对组织间谍的手段,”Munro每周告诉计算机。

许多IOT设备最初在接入点模式下工作,因此用户可以使用智能手机连接到设备,通过输入网络安全密钥来重新将其重新转到无线网络上的客户端,从而使其更加安全。

但企业和消费者通常会选择不将设备连接到互联网,相信这是更安全的。然而,这概述了这些设备通常被设计为默认方式用作无线接入点的事实。

“这意味着如果设备仍然是unctpd,它将保留在默认状态,使其更容易受到与互联网和康普德连接的影响,”Munro说。

“虽然这开放了另一套漏洞,但组织和消费者越来越意识到这些漏洞,因此更有可能意识到风险以及如何减轻它们。”

但是通过不协调的设备,攻击者可以使用战争驾驶或访问映射攻击,这将使Munro表示,这将使这些设备易于损害这些设备,因为攻击者可以使用像Wigle.NET等地理位置网站识别目标无线网络,显示任何给定位置中的无线接入点,并使帐户持有者能够搜索其数据库以查找无限素设备。

“这意味着攻击者可以在特定位置搜索特定的设备类型,然后他们需要做的所有内容都可以下载相应的应用程序,连接到物联网设备的无线接入点,并完全控制该设备,”他说。

企业可能面临着消费者物联网设备(如在企业环境中的咖啡壶或饮料饮食者)的风险,但不要通过IT安全风险评估,并被认为是安全的,因为它们没有连接到互联网。

“如果这些消费者物联网设备配备了相机或麦克风,则还有额外的风险,如果设备受到损害,则可以激活这些设备,以便在办公环境中启用窃听,”Munro说。

他补充说,风险不会停止在那里,因为没有连接到互联网的电器不太可能拥有软件更新,因为它们是首次安装的。

“这意味着攻击者可以上传设备固件的流氓版本来修改设备工作方式,”Munro表示。“可以修改受损的物联机洗衣机,以便水压导致爆炸或可以修改火灾报警系统以防止其检测和响应火灾。因此,不通过将其连接到互联网的设备不是没有风险的。“

这对于无线屏幕脚轮(如无线屏幕脚轮)的设备尤其危险,这些设备通常用于商业环境中,以通过将其铸造到会议室中的投影仪来共享笔记本电脑或移动显示。

“我们的研究发现,这些设备通常在安装时通过网络端口连接到公司网络,有时没有公司知道,”Munro说。“这有效地通过未连接到因特网的未计算设备来有效地为网络创建了一个后门。

“安装程序直接责任,但制造商也负责没有真正思考它是如何安装的,而且最终用户没有检查它是如何安装的。”

Munro表示,蓝牙连接造成比Wi-Fi更大的风险,因为用户通常没有用于验证或授权它们正在连接的移动设备的过程,使得可以在范围内进行连接。

IOT设备的固有安全风险导致全球呼叫政府干预以立法的形式,以确保所有IOT设备符合最低安全要求。

在许多人中作为英国物权立法的先例,政府已发表了一项自愿安全的安全守则,为欧盟一般数据保护法规(GDPR)和英国新的GDPR-SengetData保护支持的消费物联网市场Actin希望设备制造商将遵循最佳实践,以赢得市场批准和竞争优势。

Munro已经授权练习守则作为提高英国在许多其他国家之前提高英国的重要第一步,但指出代码似乎不会解决未连接的未计算设备所带来的风险。

“我不认为它在默认情况下,为射频设备和IoT设备上的接收器提出了一个特定的推荐,”他说,“在我的经验中,一旦您激发大多数这些设备,无线能力启用,少数例外情况。“

Munro认为,默认情况下,IOT设备的无线连接应该关闭,并且应配备一个按钮或其他方法,以使用户能够选择打开它并将其放入配对模式。“目前,带有这种功能的IOT设备很少,之间的几乎没有,”他说。

虽然Munro已经开展了概念验证攻击,但损害了更复杂的未分布了IOT设备,例如屏幕脚轮,危及公司网络并绕过防火墙,他说,如果组织以这种方式定位,它们不太可能意识到其中没有执行受影响设备的法医分析,但由于功能有限,大多数IOT设备都无法实现这一点。

“即使您怀疑组织中的一个设备以这种方式瞄准了目标,也很难证明这一点,”他说,添加组织应该确保所有IOT设备都连接和康复,或者他们的无线连接已关闭。

2018年11月,MUNGREEEMA ISSE 2018CYBER安全会议在布鲁塞尔呼吁政府ACTION IOT安全。

当时,他说,虽然英国的实践准则是一个很好的开始,但还有很长的路要走,他希望看到一些基本的监管。

慕罗表示,从那时起,英国数码部长詹姆斯已经开始记录,据说关于物联网安全的立法可能很长时间。

“这是向前迈出的一大步,我已经倡导了很长时间,”他说。“我认为物联网供应商可能有大约一年来开始关注并获得正确的事情。

“我们必须规范,因为市场上有太多的智能产品太多的制造商,他们只是不关心安全风险。”

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。
相关新闻:
每日推荐
焦点图片
热门推荐
Copyright @ 2005-2021 中国电子产业网, All Rights Reserved