导航菜单
首页 >  沐鸣开户测速 >  » 正文

响铃:物联网门铃将客户Wi-Fi密码暴露给窃听者

沐鸣开户测速,响铃:物联网门铃将客户Wi-Fi密码暴露给窃听者

Ring推出了一个解决方案,沐鸣开户测速解决了其联网家居安全产品配置代码中的一个安全问题。今年6月,Bitdefender的研究人员发现了Ring Video门铃专业摄像头软件的一个漏洞,这个漏洞使得无线窃听者可以在设备设置过程中获取客户的Wi-Fi证书——因为这些证书是通过不安全的Wi-Fi连接使用未加密的HTTP发送到设备上的。
 
在昨天发布的一份报告中,Bitdefender的研究人员解释说,当客户配置了一个带铃声的视频门铃时,
 
智能手机应用程序(for Ring)必须发送无线网络证书。当进入配置模式时,设备创建一个没有密码的访问点(SSID包含来自MAC地址的最后三个字节)。一旦网络启动,沐鸣开户测速应用程序自动连接到它,查询设备,然后将凭据发送到本地网络。所有这些交换都是通过普通HTTP执行的。这意味着这些凭证会被附近的窃听者发现。
 
攻击者可以利用这个漏洞迫使受害者重新配置门铃。攻击者可以使用Wi-Fi deauthorization(“deauth”)攻击设备,使其重新进入配置模式,还可以使用恶意Wi-Fi设备使门铃脱离网络。
 
然后,门铃的主人必须注意到门铃已断开,这可能要求攻击者或其他人在目标主人意识到门铃已脱机之前按响门铃。当门铃恢复到配置模式时,应用程序将提供重新将门铃连接到Wi-Fi网络,然后将凭据以XML编码的HTTP消息重新发送到门铃。
 
然后,如果没有其他安全措施阻止它们(如设备白名单或Wi-Fi网络分区),攻击者将能够连接到受害者的家庭Wi-Fi网络。
 
所有受影响的设备现在应该打补丁,沐鸣开户测速根据戒指和Bitdefender。但这是“物联网”设备的所有者应该考虑使用能够细分网络的Wi-Fi路由器的另一个例子,或者提供“客人”Wi-Fi网络,限制连接设备只能访问互联网。deauth攻击仍然可以用来离线攻击这些设备——通过禁用视频录制功能,允许窃贼或“门廊海盗”掩盖他们的踪迹。