大多數物聯網設備中發現的“ CallStranger”漏洞為網絡罪犯提供了優勢

研究人員警告用戶有關可能會影響全球數十億個IoT （ 物聯網 ）設備的安全漏洞。它被稱為CallStranger漏洞，並且據網絡安全專家稱，它可能被濫用於執行DDoS （ 分佈式拒絕服務 ）攻擊，掃描內部端口和洩露數據。因此，鼓勵用戶採取額外的預防措施，以防止黑客濫用此安全漏洞。如果您想知道如何保護IoT設備，請進一步了解此弱點，或找到諸如什麼是分佈式拒絕服務攻擊之類的問題的答案？我們邀請您閱讀我們的完整博客文章。如果您想對所討論的安全漏洞有任何疑問，請記住，您可以在我們的評論部分中給我們留言。

EY土耳其的網絡安全專家YunusÇadırcı發現了CallStranger的弱點。他發現有一種方法可以濫用一組稱為UPnP （ 通用即插即用 ）的網絡協議。它允許聯網的設備（例如計算機和打印機）在網絡上相互發現。大多數物聯網設備都使用UPnP，因此它們可以交換配置和其他數據以及同步工作。該協議由名為OCF（ 開放連接基金會 ）的組織進行管理，該組織在發現安全漏洞後即於2019年底對其進行了通知。該組織已通知供應商提供可能具有CallStranger漏洞的IoT設備。到2020年初，但該弱點尚未完全消除。

黑客如何濫用CallStranger安全漏洞？

專家說，普通家庭用戶的風險要低於各種公司和組織。這是因為該漏洞可能允許黑客繞過安全設備並洩露數據，並且公司經常將許多IoT設備連接到同一網絡。因此，針對他們可能會為黑客提供訪問更多設備和信息的權限。

儘管如此，網絡安全專家認為，沒有人是安全的，因為網絡罪犯可能濫用CallStranger不僅會洩露數據，而且還會執行DDoS攻擊。什麼是分佈式拒絕服務攻擊？在這種攻擊中，黑客試圖通過向設備或計算機充斥可能無法處理的流量，從而使設備或計算機不可用，從而導致目標系統超載。網絡罪犯需要從不同的設備發送大量請求以使其實現，這通常是通過濫用連接到所謂的殭屍網絡的易受攻擊的物聯網設備來實現的。最糟糕的是，您可能不知道是否以這種方式濫用了設備。

什麼時候可以消除此安全漏洞？

專家說，CallStranger的弱點已經被消除。但是，此過程將很慢，因為該缺陷會影響數十億個IoT設備，並且每個設備都必須接收固件更新。更不用說，此類設備的所有提供商都需要花費時間來修補漏洞並將修補程序提供給他們的用戶。因此，沒有確切的日期可以使我們不再需要擔心CallStranger的弱點。在此之前，如果您不希望黑客能夠訪問您的物聯網設備，則建議採取額外的預防措施。

如何保護您的設備免受CallStranger漏洞的侵害？

根據專門針對CallStranger漏洞的網站 ，普通家庭用戶應詢問其ISP（ 互聯網服務提供商 ），其路由器是否具有帶有CallStranger漏洞的面向Internet的UPnP。無需在此類設備上禁用UPnP，但建議用戶確保其UPnP終結點未暴露於Internet。

各種使用可能具有已發現的安全漏洞的物聯網設備的公司呢？如果可能，專家建議關閉UPnP端口以連接到Internet。公司在使用安全設備應阻止所有訂閱 ，並在入口和出口流量通知HTTP數據包以及配置他們的DDoS防護設備。建議使用Intranet的組織在可能的情況下在打印機，路由器和其他設備上禁用UPnP服務。最後，建議定期檢查提供有關安全漏洞及其清除進度信息的網站，以查找最新的提示和新聞。

您還能做什麼來保護您的物聯網設備？

您可能已經厭倦了聽這句話，但是至關重要的是，您到處都使用強密碼。就是說，如果您擁有智能冰箱，打印機或任何其他可以連接到Internet的設備，並因此用於DDoS攻擊或訪問您的其他設備，則應設置強密碼。保留設備的默認密碼是最糟糕的事情，儘管使用容易猜測的組合也不是一個很大的改進。因此，如果您關心網絡安全，建議您至少使用12個字符創建密碼，並包含大小寫字母，數字和符號。

您可能會認為很難為所有帳戶設置強密碼並記住它們，但是，自從出現密碼管理器以來，您不再需要在便利性和安全性之間進行選擇。例如，諸如Cyclonis Password Manager之類的工具可以為您的所有帳戶生成並存儲強密碼。它還可以自動將您登錄到您的帳戶。因此，使用密碼管理器可能會使事情變得簡單得多，最重要的是，它可以幫助您保護設備和隱私免受黑客攻擊。要了解有關Cyclonis的工作原理以及所提供的其他功能的更多信息，請閱讀此處 。

總而言之，CallStranger漏洞可能不是一個可以幫助黑客竊取身份的問題。但是，如果您不希望黑客將您的設備濫用為惡意軟件或訪問其他計算機以及設備可以提供的信息，則最好調查此問題並採取額外的預防措施。有關此安全漏洞的更多信息，包括已確認受此漏洞影響的設備列表，我們建議您訪問callstranger.com網站。