奇奇怪怪IoT入侵系列:“黑掉”你的空气炸锅?

安全 移动安全 物联网安全
IoT安全为什么在近几年愈发引起大众关注?从智能门锁到咖啡机、打印机,这些关于日常生活和工作的小设备,由于随处可见却又安全防护薄弱,成为黑客攻击的跳板。

IoT安全为什么在近几年愈发引起大众关注?从智能门锁到咖啡机、打印机,这些关于日常生活和工作的小设备,由于随处可见却又安全防护薄弱,成为黑客攻击的跳板。

去年,笔者写过《当黑客入侵咖啡机,可以做什么?》,分享了攻击一个联网咖啡机可以实现“打开咖啡机的加热器,加水,旋转磨豆机甚至显示赎金消息”,还有《在全球范围内成功劫持28000台打印机》,可以在不受保护的打印机上远程打印任意文件。当然,这2个案例都是研究人员的相关实验,用以证明大多数物联网设备仍然处于安全裸奔的状态,极容易被黑客利用。

最近,Cosori智能炸锅中发现了两个远程执行代码(RCE)漏洞:TALOS-2020-1216(CVE-2020-28592)和 TALOS-2020-1217(CVE-2020-28593)。漏洞使得攻击者可以成功接管设备并执行各种恶意行为。

  • CVE-2020-28592是基于堆的缓冲区溢出漏洞,位于智能炸锅的配置服务器功能中。通过将包含特制JSON对象的数据包发送到设备,可以利用此漏洞。
  • CVE-2020-28593是未经身份验证的后门,位于Cosori Smart 5.8-Quart空气炸锅CS158-AF 1.1.0的配置服务器功能,同样通过发送特质JSON对象的数据包进行利用。

[[395272]]

入侵空气炸锅可以干什么?由于Cosori智能炸锅允许用户通过Wi-Fi控制设备进行食谱查找和烹饪,因此攻击成功后,炸锅的温度,烹饪时间和相关设置可以被篡改,或是攻击者可以在受害者不知情的情况下启动炸锅。

目前,供应商尚未修复相关漏洞,而由于已经超过了漏洞披露政策中90天的缓冲器,相关研究人员还是披露了这些漏洞。

参考来源:securityaffairs

 

责任编辑:赵宁宁 来源: FreeBuf
相关推荐

2019-12-06 10:14:31

缓冲函数日志

2019-12-24 14:17:54

缓冲系统调用函数

2010-03-04 16:23:23

Ubuntu安裝環境

2021-02-04 10:39:23

项目需求解析器

2023-03-14 07:23:48

ReactJSX语法

2022-08-04 14:28:12

Github安全

2015-08-11 14:10:25

2020-07-07 12:30:16

Windows 10Windows操作系统

2020-12-24 09:18:51

SQL数据库函数

2020-06-17 09:01:37

C语言代码开发

2021-09-13 08:41:52

职场互联网自闭

2020-05-25 09:00:35

郭德纲程序员互联网

2022-09-09 08:56:01

Go代码管理

2014-09-28 09:34:17

2021-07-06 07:27:44

函数Return编译器

2015-05-11 10:16:20

2013-06-05 09:35:28

2014-08-25 11:22:30

2015-06-11 10:03:05

2012-09-29 09:42:37

点赞
收藏

51CTO技术栈公众号