信息安全最新文章

物聯(lián)網(wǎng)設(shè)備軟件供應(yīng)鏈再爆嚴(yán)重漏洞,數(shù)百萬(wàn)設(shè)備面臨被操控風(fēng)險(xiǎn)

Mandianat公司的研究人員當(dāng)?shù)貢r(shí)間周二表示,數(shù)百萬(wàn)智能家居設(shè)備使用的軟件存在漏洞,此漏洞已被分配CVSS3.1基礎(chǔ)分?jǐn)?shù)為9.6,并被跟蹤為CVE-2021-28372和FEYE-2021-0020。黑客可能會(huì)竊取嬰兒監(jiān)視器和網(wǎng)絡(luò)攝像頭等設(shè)備上的音頻和視頻數(shù)據(jù)。該漏洞存在于臺(tái)灣物聯(lián)網(wǎng)(IoT)供應(yīng)商ThroughTek開(kāi)發(fā)的一個(gè)軟件協(xié)議中,該公司的客戶包括中國(guó)電子巨頭小米。ThroughTek說(shuō),相機(jī)供應(yīng)商Wyze等其他品牌生產(chǎn)的8,300萬(wàn)臺(tái)設(shè)備運(yùn)行該公司的軟件。Mandiant表示,要利用這一漏洞,攻擊者需要對(duì)軟件協(xié)議有“全面的了解”,并獲取目標(biāo)設(shè)備使用的唯一標(biāo)識(shí)符。有了這種權(quán)限,黑客就可以遠(yuǎn)程與設(shè)備進(jìn)行通信,可能會(huì)導(dǎo)致后續(xù)的嚴(yán)重后果。糟糕的是,這并不局限于某個(gè)制造商。它出現(xiàn)在一個(gè)軟件開(kāi)發(fā)工具包中,滲透到8300多萬(wàn)臺(tái)設(shè)備中,每個(gè)月有超過(guò)10億的互聯(lián)網(wǎng)連接。國(guó)土安全部下屬CISA計(jì)劃發(fā)布一項(xiàng)公眾建議,以提高人們對(duì)安全問(wèn)題的認(rèn)識(shí)。

發(fā)表于:2021/8/21