漏洞可致宠物“保镖”变“恶魔”

2024-02-23 03:40

本文主要是介绍漏洞可致宠物“保镖”变“恶魔”,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

随着人类精神需求的变化,豢养宠物现象在日常生活中变得愈发常见,加上科技的发展,用以跟踪宠物的智能设备也应运而生。然而根据最近的一篇分析,这些宠物“保镖”漏洞不少,一旦被恶意利用,极有可能暴露宠物位置及主人信息。

漏洞可致宠物“保镖”变“恶魔”

卡巴斯基实验室对多个国外流行的宠物跟踪设备进行了安全评估,评估中涉及的设备有:

Kippy Vita(GPS追踪器)

LINK AKC Smart Dog Collar(智能狗项圈)

Nuzzle Pet Activity and GPS Tracker(GPS追踪项圈)

TrackR bravo and pixel(蓝牙追踪器)

Tractive GPS Pet Tracker(牵引GPS追踪器)

Weenect WE301(GPS追踪器)

Whistle 3 GPS Pet Tracker & Activity Monitor(口哨GPS追踪器)

经过卡巴斯基实验室的分析,恶意***可以利用这些产品及其相应移动应用程序中发现的缺陷来禁用设备的服务,使其接收并执行来自未授权方的命令或者通过中间人***的方法拦截传输信息。这些设备通常依靠GPS,Wi-Fi和/或蓝牙低功耗(BLE)的组合运行,卡巴斯基认为后因缺乏身份验证、服务可用性的特点,是“设备防护装甲中的弱点”。令人担心的是——测评设备中,只有一个产品与配套使用的Android应用程序验证了其服务器的证书。

最终评估结果可能会让设备主人惶恐:Nuzzle Pet Activity、GPS Tracker和Whistle 3 GPS Pet Tracker & ActivityMonitor均有四个漏洞,TrackR有两个漏洞在Bravo和像素设备中,Kippy Vita和Link AKC Smart Dog Collar各有一个漏洞 。(Weenect WE301和Tractive GPS Pet Tracker 虽有小问题,但未分配任何官方的CVE标识符。)

评估检查出的漏洞或缺陷包括:应用程序将敏感数据(如凭证和身份验证令牌)传输到服务器或logcat; 应用程序无法验证服务器的HTTPS证书; 以未加密的形式存储授权令牌; 授权和访问控制缺乏认证; 轻松绕过完整性控制,允许设备与任意任意智能手机接口; 接收并执行不包含用户标识的命令。

令人欣慰的是,至漏洞公布时,评估中所揭示的大部分漏洞已得到修复,多家厂商对卡巴斯基表示感谢,回应会继续加强设备安全性。

转载自墨者学院:https://mozhe.cn/news/detail/299请添加链接描述

转载于:https://blog.51cto.com/13520190/2121030

这篇关于漏洞可致宠物“保镖”变“恶魔”的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/737400

相关文章

基于SpringBoot的宠物服务系统+uniapp小程序+LW参考示例

系列文章目录 1.基于SSM的洗衣房管理系统+原生微信小程序+LW参考示例 2.基于SpringBoot的宠物摄影网站管理系统+LW参考示例 3.基于SpringBoot+Vue的企业人事管理系统+LW参考示例 4.基于SSM的高校实验室管理系统+LW参考示例 5.基于SpringBoot的二手数码回收系统+原生微信小程序+LW参考示例 6.基于SSM的民宿预订管理系统+LW参考示例 7.基于

恶意PNG:隐藏在图片中的“恶魔”

<img src="https://i-blog.csdnimg.cn/blog_migrate/bffb187dc3546c6c5c6b8aa18b34b962.jpeg" title="214201hhuuhubsuyuukbfy_meitu_1_meitu_2.jpg"/></strong></span><

【CTF Web】BUUCTF Upload-Labs-Linux Pass-13 Writeup(文件上传+PHP+文件包含漏洞+PNG图片马)

Upload-Labs-Linux 1 点击部署靶机。 简介 upload-labs是一个使用php语言编写的,专门收集渗透测试和CTF中遇到的各种上传漏洞的靶场。旨在帮助大家对上传漏洞有一个全面的了解。目前一共20关,每一关都包含着不同上传方式。 注意 1.每一关没有固定的通关方法,大家不要自限思维! 2.本项目提供的writeup只是起一个参考作用,希望大家可以分享出自己的通关思路

Java反序列化漏洞-TemplatesImpl利用链分析

文章目录 一、前言二、正文1. 寻找利用链2. 构造POC2.1 生成字节码2.2 加载字节码1)getTransletInstance2)defineTransletClasses 2.3 创建实例 3. 完整POC 三、参考文章 一、前言 java.lang.ClassLoader#defineClass defineClass可以加载字节码,但由于defineClas

【vulhub】thinkphp5 2-rce 5.0.23-rce 5-rce 漏洞复现

2-rec 1.启动环境  cd /.../vulhub/thinkphp/2-rce # cd进入2-rce靶场文件环境下docker-compose up -d # docker-compose启动靶场docker ps -a # 查看开启的靶场信息 2.访问192.168.146.136:8080网页 3.构造payload http

【漏洞复现】赛蓝企业管理系统 GetJSFile 任意文件读取漏洞

免责声明:         本文内容旨在提供有关特定漏洞或安全漏洞的信息,以帮助用户更好地了解可能存在的风险。公布此类信息的目的在于促进网络安全意识和技术进步,并非出于任何恶意目的。阅读者应该明白,在利用本文提到的漏洞信息或进行相关测试时,可能会违反某些法律法规或服务协议。同时,未经授权地访问系统、网络或应用程序可能导致法律责任或其他严重后果。作者不对读者基于本文内容而产生的任何行为或后果承担

【网络安全】Jenkins任意文件读取漏洞及检测工具(CVE-2024-23897)

原创文章,不得转载。 文章目录 漏洞成因影响范围检测工具更多细节 漏洞成因 Jenkins CLI 接口存在任意文件读取漏洞(CVE-2024-23897)。该问题源于 args4j 库在解析文件名参数时,会将@符号后的字符串视为文件名并尝试读取文件,而且该功能默认处于启用状态。 影响范围 Jenkins weekly <= 2.441 Jenkins LTS <=

除猫毛应该用哪款宠物空气净化器?希喂、安德迈哪款更值得推荐

自从我的朋友也养了猫之后,我和她能讨论的话题就更多了,每天都在分享自家的猫咪今天干了什么可爱的事,一起探讨应该怎么让猫咪胖起来,每天撸都撸不够,好想时时刻刻和猫咪待在一起。 但她说到,本来这种生活挺好的,但是自从养了猫之后,家里的各个角落都开始有猫咪的毛发,每天都得清理,而且还有这个排便时的臭味,家里简直就是无法忍受,导致现在家里的氛围就更差了,她婆婆每天都在担心养了猫之后对家里人造成健

MyBatis-Plus 框架 QueryWrapper UpdateWrapper 方法修复sql注入漏洞事件

什么是漏洞? 漏洞是指软件、系统或网络中存在的安全弱点或错误,这些弱点可能导致系统遭受攻击或被不当使用。在计算机安全领域,漏洞通常源于编程错误、设计缺陷或配置失误。 对于对象关系映射(ORM)框架来说,漏洞通常指的是设计或实施中的安全问题,这些问题可能让应用程序面临SQL注入攻击的风险。 SQL 注入漏洞 如果ORM框架在执行SQL操作时没有正确过滤或转义用户输入,攻击者可以利用输入的恶意数据

XSS 漏洞检测与利用全解析:守护网络安全的关键洞察

在网络安全领域,跨站脚本攻击(XSS)是一种常见的安全漏洞。XSS 漏洞可以让攻击者在受害者的浏览器中执行恶意脚本,从而窃取用户的敏感信息、篡改页面内容或者进行其他恶意操作。本文将介绍 XSS 漏洞的检测和利用方法。 一、XSS 漏洞的概念和类型 (一)概念 跨站脚本攻击(XSS)是指攻击者在网页中注入恶意脚本,当用户访问该网页时,恶意脚本在用户的浏览器中执行,从而达到攻击的目的。 (