青蓮晚報| 物聯網安全多知道(第十三期)
當今社會物聯網裝置已經逐步滲透到人們生產生活的方方面面,為人們及時瞭解自己周圍環境以及輔助日常工作帶來便利。但隨著互聯緊密度的增高,物聯網裝置的安全性問題也逐漸影響到人們的正常生活,甚至生命安全,物聯網裝置安全不容小覷。 以下為近日的物聯網安全新聞內容。
4G LTE網路曝安全漏洞! 使用者流量易被劫持!
在 LTE 資料鏈路層(Data Link Layer,又被稱為第二層)協議中發現漏洞,可被黑客利用實現三種攻擊途徑,劫持使用者通訊流量,獲取使用者“網站指紋”。政客或記者最有可能成為此類攻擊的目標。
兩種被動攻擊:攻擊者可監控 LTE 流量,並確定目標詳情。研究人員表示,攻擊者可利用這些攻擊收集使用者流量有關的元資訊(“身份對映攻擊”),此外,攻擊者還可確定使用者通過其 LTE 裝置訪問的網站(“網站指紋識別攻擊”)。
主動攻擊——“aLTEr”:攻擊者可操縱傳送至使用者 LTE 裝置的資料。
詳文閱讀:
https://www.easyaq.com/news/2043514904.shtml
華為部分產品曝弱加密演算法漏洞,可導致資訊洩露
華為在一份編號為“huawei-sa-20180703-01-algorithm”的安全通報中指出,某些華為產品存在一個弱加密演算法漏洞,成功利用可能會導致資訊洩露。
華為解釋說,要利用此漏洞,遠端未經身份驗證的攻擊者必須捕獲客戶端與受影響產品之間的TLS流量。攻擊者可能會對RSA金鑰交換啟動Bleichenbacher攻擊,以通過某些密碼分析操作解密會話金鑰和先前捕獲的會話。當然,成功的利用便會導致在上述中提到的資訊洩露。
詳文閱讀:
https://www.easyaq.com/news/45530704.shtml
可穿戴裝置品牌 Polar 旗下 App 出現漏洞:洩露使用者位置
法國可穿戴智慧裝置公司Polar提供的App在隱私設定上存在漏洞,導致App中有一項功能會洩露使用者的位置資訊。目前該公司已停止相關服務。
調查發現,惡意使用者可以利用Polar地圖資料確定敏感軍事基地的位置,而且還可以獲取使用者的名字、地址資訊。在Explore地圖中可以看到使用者的活動,甚至包括士兵的活動,這些士兵在伊拉克打擊ISIS。
詳文閱讀:
http://hackernews.cc/archives/23498
西門子中央工廠時鐘受嚴重漏洞影響
西門子通知消費者稱,其 SICLOCK 中央工廠時鐘受多個漏洞影響,其中一些被評級為“嚴重”漏洞。
西門子 SICLOCK 裝置用於同步化工業工廠的時間。中央工廠時鐘確保在主時間源出現接收故障或丟失時的穩定性。
西門子指出,SICLOCK 系統共受六個漏洞的影響。這些漏洞的 CVE 編號是 CVE-2018-4851 和 CVE-2018-4856。
高危嚴重漏洞
三個漏洞被評為嚴重漏洞,其中一個可導致能訪問網路的攻擊者通過傳送特別構造的資料包引發目標裝置達到拒絕服務條件甚至可能是處於重啟狀態。
西門子在安全公告中指出,“裝置的核心功能可能受影響。當與 GPS 裝置或其它 NTP 伺服器的時間同步完成時,時間服務功能恢復。該漏洞可能影響裝置的可用性並可能影響裝置的時間服務功能的完整性。
詳文閱讀:
http://codesafe.cn/index.php?r=news/detail&id=4280
思科 ASA 缺陷已遭利用
黑客正在利用思科軟體中的一個漏洞攻擊裝置以及/或檢索受影響裝置中的資訊。
思科已向消費者發出警告資訊。
黑客利用 CVE-2018-0296
攻擊者利用的是影響思科 ASA(自適應安全裝置)軟體的漏洞 CVE-2018-0296。該漏洞可導致攻擊者無需在 ASA 裝置上認證通過目錄遍歷技術就能檢視敏感的系統資訊。這個漏洞的缺點在於會導致裝置崩潰,因此思科將其說明為拒絕服務問題。
詳文閱讀: