不安全的物联网:黑客利用固件漏洞的8种方式

智能家居 2019-09-26 10:30157未知admin

印机、视频解码器等。微软公司表示,这些攻击是由一个名为Strontium的组织(也称为Fancy Bear或APT28)进行的,该组织与某个军事情报机构有所关联。

根据Gartner公司的调查,到2020年,家庭和企业用户将使用140亿多台物联网设备。鉴于微软公司发布的消息,现在是审查固件中的安全风险的时候了。固件是为物联网设备的硬件提供低级控制的特定软件类别。固件安全被广泛认为是一个紧迫的网络安全问题,它是黑客用来在网络中立足的无保护的常见攻击面。不安全的物联网设备本质上是一个没有上锁的大门,这意味着一旦攻击者控制物联网设备,就可以侵入到任何公司的网络中。

黑客积极利用物联网安全的弱点,而不是攻击设备本身,并将其作为各种恶意行为的起点,这些恶意行为可能包括分布式拒绝服务攻击、恶意软件分发、垃圾邮件、网络钓鱼、点击欺诈,以及信用卡诈骗等等。因此,在设备漏洞导致企业的收入损失、诉讼、公司声誉受损之前,需要了解8个最常见的固件漏洞,以确保企业网络没有敞开大门。

1.未经身份验证的访问:固件中最常见的漏洞之一,未经身份验证的访问允许威胁参与者获得对物联网设备的访问权限,从而可以轻松利用设备数据及其提供的任何控制。

2.弱认证:当固件具有弱认证机制时,威胁参与者可以轻松访问设备。这些机制的范围可以从单因素和基于密码的身份验证到基于弱加密算法的系统,这些算法可以通过暴力攻击进行破解。

3.隐藏后门:在固件方面,隐藏后门是黑客最喜欢利用的漏洞。后门是植入嵌入式设备中的有意漏洞,可向任何具有“秘密”身份验证信息的人提供远程访问。虽然后门可能有助于客户支持,但当恶意行为者发现后门时,它们可能会产生严重后果。而黑客很擅长发现它们。

4. 哈希密码:大多数设备中的固件包含用户无法更改的硬编码密码或用户很少更改的默认密码。两者都导致相对容易利用的设备。2016年,Mirai僵尸网络在全球范围内感染了250万多台物联网设备,利用物联网设备中的默认密码执行DDoS攻击,Netflix、亚马逊和纽约时报等一些大公司都遭到了这样的攻击。

5.加密密钥:当以易于被黑客攻击的格式存储时,如20世纪70年代首次引入的数据加密标准(DES)的变体,加密密钥可能给物联网安全带来巨大问题。尽管已经证明数据加密标准(DES)安全性不足,但它仍然在使用。黑客可以利用加密密钥窃听通信,获取对设备的访问权限,甚至可以创建可以执行恶意行为的恶意设备。

6. 缓冲区溢出:当对固件进行编码时,如果程序员使用不安全的字符串处理函数,可能会导致缓冲区溢出,这将会出现问题。攻击者花费大量时间查看设备软件中的代码,试图找出导致不稳定的应用行为或漏洞,从而打开安全漏洞的路径。缓冲区溢出可以允许黑客远程访问设备,并且可以实现创建拒绝服务和代码注入攻击。

眼爆科技 Copyright © 2002-2017 深圳眼爆智能科技有限公司 版权所有 备案号:* 本站资源来自互联网,我们转载的目的是用于学习交流与讨论,如果您认为我们的转载侵犯了您的权益,请与我们联系(Email:gm@ybbtb.com),我们将在3个工作日内删除相关内容。

邮箱地址:gm@ybbtb.com