當今社會物聯網裝置已經逐步滲透到人們生產生活的方方面面，為人們及時瞭解自己周圍環境以及輔助日常工作帶來便利。但隨著互聯緊密度的增高，物聯網裝置的安全性問題也逐漸影響到人們的正常生活，甚至生命安全，物聯網裝置安全不容小覷。 以下為近日的物聯網安全新聞內容。

黑客可通過智慧插頭入侵企業網路

McAfee 研究員發現貝爾金 Wemo Insight 智慧插頭出現了快取溢位漏洞(CVE-2018-6692)。遠端攻擊者可以利用這個漏洞，繞過本地安全保護，通過偽造的 HTTP post 包訪問企業網路並與聯網裝置互動。這個漏洞對於智慧插座本身而言影響並不大，最多會被遠端攻擊者控制開關或者導致過載。但是，如果攻擊者通過聯網的智慧開關進入網路，控制其他聯網裝置，就會增大風險。

詳文閱讀：

https://www.helpnetsecurity.com/2018/08/23/hacking-smart-plugs/?tdsourcetag=s_pctim_aiomsg

恩智浦晶片漏洞被發現，或影響數億物聯網裝置

該高危晶片漏洞可能影響到數億嵌入式及IOT產品：一方面，產品可能會面臨著被克隆的危險，智慧財產權被盜竊；另一方面，聯網的IOT裝置，還有可能被植入惡意程式碼，裝置被黑客操控。目前該漏洞已修復。

詳文閱讀：

http://3g.163.com/news/article/DOPP4J2705310CDR.html

韓國多家企業遭供應鏈攻擊

安全研究員發現一起旨在通過一個遠端訪問木馬 (RAT) 感染韓國組織機構以竊取有價值資訊的供應鏈攻擊。

這一攻擊活動被稱作“紅色簽名行動”，在7月份首次現身，是通過遭攻陷的某個遠端支援解決方案提供商的更新伺服器執行的。攻擊的終極目標是通過 9002 RAT 後門感染目標。

攻擊者設法竊取一個有效的數字證書並藉此簽名惡意軟體。他們重新配置更新伺服器將惡意檔案傳遞到某個 IP 範圍內的組織機構。

一旦 9002 RAT 位於受感染機器上後，它會安裝其它惡意軟體如網際網路資訊服務 (IIS) 6 WebDav（利用 CVE-2017-7269）和一個 SQL 資料庫密碼轉儲器的利用工具。

詳文閱讀：

http://codesafe.cn/index.php?r=news/detail&id=4400

CVE-2017-11564：D-Link EyeOn嬰兒監視器（DCS-825L）中的多命令注入漏洞

D-Link EyeOn嬰兒監視器（DCS-825L）在Web服務框架中具有多個命令注入漏洞。 

攻擊者可以傳送精心設計的請求來執行命令; 執行攻擊前需要進行身份驗證。

＃漏洞型別 

命令注入

＃受影響的產品程式碼庫

DCS-825L EyeOn嬰兒監視器 -  1.08.1

＃受影響的元件

Web服務框架

＃攻擊型別

遠端

詳文閱讀：

http://seclists.org/fulldisclosure/2018/Aug/19

利用 AI 技術，黑客能用麥克風聽出你在螢幕上看什麼

研究人員利用普通麥克風設法從計算機顯示屏上捕捉到聲音訊號並實時判斷出螢幕上的內容型別。

這種技術可能導致攻擊者執行監控操作、滲透資訊或者監控受害者的瀏覽活動。研究人員研究了來自多個 LCD 屏的音訊訊號後注意到所顯示的影象和聲音之間存在關聯。他們發現螢幕上顯示的內容都具有獨特的音訊簽名。

計算機螢幕產生的音訊源自在調製電流時發出高音噪聲的電源。聲音根據渲染視覺內容時所需的功率要求而變化；這種聲音無法被人耳聽到，但常見的麥克風能檢測並記錄這種聲音。通過使用簡單的視覺模型分析了音訊記錄的頻譜後，研究人員能夠建立可用於識別其它捕獲內容的指紋。

詳文閱讀：

http://codesafe.cn/index.php?r=news/detail&id=4404