信息安全最新文章

物聯(lián)網(wǎng)設(shè)備軟件供應(yīng)鏈再爆嚴(yán)重漏洞,數(shù)百萬設(shè)備面臨被操控風(fēng)險

Mandianat公司的研究人員當(dāng)?shù)貢r間周二表示,數(shù)百萬智能家居設(shè)備使用的軟件存在漏洞,此漏洞已被分配CVSS3.1基礎(chǔ)分?jǐn)?shù)為9.6,并被跟蹤為CVE-2021-28372和FEYE-2021-0020。黑客可能會竊取嬰兒監(jiān)視器和網(wǎng)絡(luò)攝像頭等設(shè)備上的音頻和視頻數(shù)據(jù)。該漏洞存在于臺灣物聯(lián)網(wǎng)(IoT)供應(yīng)商ThroughTek開發(fā)的一個軟件協(xié)議中,該公司的客戶包括中國電子巨頭小米。ThroughTek說,相機供應(yīng)商Wyze等其他品牌生產(chǎn)的8,300萬臺設(shè)備運行該公司的軟件。Mandiant表示,要利用這一漏洞,攻擊者需要對軟件協(xié)議有“全面的了解”,并獲取目標(biāo)設(shè)備使用的唯一標(biāo)識符。有了這種權(quán)限,黑客就可以遠(yuǎn)程與設(shè)備進(jìn)行通信,可能會導(dǎo)致后續(xù)的嚴(yán)重后果。糟糕的是,這并不局限于某個制造商。它出現(xiàn)在一個軟件開發(fā)工具包中,滲透到8300多萬臺設(shè)備中,每個月有超過10億的互聯(lián)網(wǎng)連接。國土安全部下屬CISA計劃發(fā)布一項公眾建議,以提高人們對安全問題的認(rèn)識。

發(fā)表于:8/21/2021