康卡斯特语音遥控器中的漏洞可能允许收听
直到最近,安全研究人员才发现了一个影响 Comcast 语音控制遥控器的漏洞。该问题允许不良行为者控制设备并使用它们监听遥控手持装置附近发生的任何事情。
该漏洞已经发布了一个补丁来解决它。然而,虽然它仍未修复,但估计仅在美国就有超过 1800 万台设备受到影响。进行研究的研究人员发现,先前存在的漏洞允许他们在中间攻击中拉下一个人,并使用 Comcast XR11 语音遥控器作为信标,允许从最远 20 米的距离收听。
发现该漏洞的 Guardicore 研究团队将此次攻击称为“WarezTheRemote”。攻击向量由响应来自远程的 RF 传出请求的不良行为者组成。
如果黑客设法猜测来自远程的请求的内容,他们可以通过恶意回调对其进行响应。研究人员解释说,这可能会诱使设备接受来自黑客的任何信息作为合法信息,包括固件更新。
成功的攻击使黑客可以完全访问受感染设备,包括刷新其固件。一旦拥有如此高的特权,坏演员只需要跳过最后几个障碍,就可以监听遥控器附近发生的任何事情。
尽管这个问题已经通过更新解决了一段时间,但它仍然表明一个完全连接的社会,其中每个小工具都是物联网小工具,仍然会带来很多危险,即使在遵循最佳安全实践的设备中,漏洞也不可避免地会蔓延和标准。
物联网设备还经常用于其他各种恶意目的,从被接管并用作 DDoS 攻击中的机器人,到感染加密恶意软件并用作黑客加密钱包的工作无人机。