史上第一例由智能家居设备到安卓手机的入侵

張奕源Nick 漏洞 2016年11月4日发布
Favorite收藏

导语:贝尔金WeMo智能家居产品(比如灯的开关、灯泡、安全摄像机、咖啡机等)中存在一个SQL注入漏洞,第三方用户可利用该漏洞获得设备的root访问权限。

贝尔金WeMo智能家居产品(比如灯的开关、灯泡、安全摄像机、咖啡机等)中存在一个SQL注入漏洞,第三方用户可利用该漏洞获得设备的root访问权限。

Invincea实验室的安全研究员发现了这个漏洞,同时警告称WeMo安卓APP上也存在漏洞。攻击者可利用该漏洞注入并执行任意JavaScript。

Invincea实验室的ScottTenaglia表示,这些漏洞都是之前没有发现的,也和之前在贝尔金WeMo智能家居产品上发现的漏洞没有任何关系。Tenaglia也会在本周五的Black Hat Europe上展示他们的这一发现。

贝尔金被发现众多安全漏洞

今年8月11日的时候,安全研究员就曾向贝尔金提交了该漏洞,只不过没有公开而已,而贝尔金也在第二天给予了确认。9月1日,贝尔金发布了一个补丁,修复了安卓APP上的这个漏洞。

目前还不清楚有多少WeMo产品受到该漏洞的影响。但仅在2015年,贝尔金就有150万个智能家居产品。据Invincea实验室称,这些设备都可能因为SQL注入漏洞问题被远程攻击。但是要想利用这个漏洞,攻击者首先需要入侵一台家用电脑,然后利用共享网络从被入侵的电脑向WeMo设备植入恶意代码。

攻击者的目标是先入侵一个设备,然后在以此为跳板入侵其他的设备(物联网设备)。一旦攻击者入侵进了物联网设备,便可以无所欲为了,比如下载Mirai恶意软件,控制物联网设备,甚至还可以入侵同一网络下的其他设备。

根据Tenaglia的观点,攻击者可以利用该漏洞控制WeMo设备进行补丁更新,甚至还能阻止用户恢复出厂设置。但是,近期贝尔金的固件升级中将会修复这一问题。

第一次发现反相的攻击

这是第一次发现可以从物联网设备入侵手机。

每一台WeMo设备都有一个名称,用户需要自己设置,但是攻击者可以利用恶意字符任意设置设备的名称。恶意字符串中含有JavaScript代码,当安卓APP请求获知设备名称时,它便会下载恶意JavaScript代码,然后执行。

在安全研究员们发现的这些安全问题中,其中一个问题是,攻击者可以下载安卓手机上的全部图片和视频;另外一个问题是,攻击者可以打开安卓手机的GPS定位,从而随时追踪受害者的实时定位。

庆幸的是,这种攻击并不会获得安卓手机的root访问权限。攻击者只能入侵到设备的内存中,当APP退出时,代码也会随之消失,并不会遗留在手机上。

本文翻译于threatpost,如若转载,请注明来源于嘶吼: http://www.4hou.com/vulnerable/1223.html
点赞 0
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论