青莲晚报 | 物联网安全多知道（第十二期）

当今社会物联网设备已经逐步渗透到人们生产生活的方方面面，为人们及时了解自己周围环境以及辅助日常工作带来便利。但随着互联紧密度的增高，物联网设备的安全性问题也逐渐影响到人们的正常生活，甚至生命安全，物联网设备安全不容小觑。

以下为近日的物联网安全新闻内容。

Fredi的无线婴儿监控存在漏洞可被用作间谍摄像机

安全研究人员发现，Fredi Wi-Fi婴儿监视器中的漏洞可能被未经身份验证的远程攻击者利用来控制它并监视家庭。许多商业监控产品利用默认启用的“P2P云”功能。每个设备都连接到云服务器基础架构并保持此连接。移动设备和桌面应用程序可以通过云连接到相机。这种架构使用户能够更轻松地与摄像机进行交互，路由器上不需要防火墙规则，端口转发规则或DDNS设置。但研究人员强调这种方法存在许多安全缺陷，不安全的Fredi Wi-Fi婴儿监视器也可能被黑客用作家庭网络的入口。
详文阅读：
https://securityaffairs.co/wordpress/73848/hacking/fredi-wi-fi-baby-monitor.html

VDOO 披露 Axis 摄像头多个漏洞

VDOO发现来自 Axis 的摄像头是最容易受到攻击的设备之一。我们团队在 Axis 安全摄像头中发现了一个关键漏洞链。攻击者在获得 ip 地址后利用这些漏洞能够远程控制这些摄像头（通过LAN 或者 互联网）。总的来说，VDOO 向 Axis 安全团队公开了 7 个漏洞。
这些漏洞的 CVE编号分别是： CVE-2018-10658, CVE-2018-10659, CVE-2018-10660, CVE-2018-10661, CVE-2018-10662, CVE-2018-10663 以及 CVE-2018-10664。
将报告中 3 个漏洞结合，未授权用户只要能够访问到登录页面，就能够完全控制这些受影响的摄像头。攻击者可以执行的操作有：
访问摄像头视频流
冻结摄像头视频流
控制摄像头 – 将镜头移动到需要的位置，开启/关闭 运动检测
将此摄像头纳入僵尸网络中
替换摄像头的软件
使用摄像头作为网络的渗透点（进行横向移动）
渲染无用的摄像头
使用摄像头执行其他恶意的任务（如 DDOS 攻击，挖矿等）
详文阅读：

http://www.360zhijia.com/anquan/396599.html

500米外入侵你的手机 这台3000万的车了解一下，如果是入侵没有防御能力的IOT设备，后果着实可怕

一家以色列初创公司WiSpear声称已经建造了一辆满载下一代监听设备的汽车，它可以在距离500米远的地方感染苹果和安卓手机，SpearHead 360使用24根天线与目标设备建立连接，汽车有四种不同的方式来强制手机连接到基于WiFi的拦截器，从而可以在汽车上进行监听。
详文阅读：
http://hackernews.cc/archives/23412

智能锁设计存漏洞：3 秒破解智能锁的小黑盒流入市场

正常地打开智能锁，需要三个环节：
一、输入，比如是密码、指纹、人脸识别等；
二、认证，芯片对输入信号进行识别认证；
三、执行，认证无误，系统发出指令信号，转动电机，打开门锁。
小黑盒破解智能锁，不存在信息输入、识别认证这两道关，问题出在第三步执行上。而智能锁的最后开启，是由电机转动带动锁芯完成的，因此试验的重点应该在电机的输入信号上。
“很可能是小黑盒的脉冲干扰产生电流，经过智能锁内部的元器件，产生一种信号，让系统误以为是正常指令，触发了电机启动。同时对于带人脸识别的摄像头也能被打印的黑白照片所开启，如此乱象的市场，希望广大厂商在追求科技进步的同时也要对门锁的基础防护做到负责”。
详文阅读：
http://hackernews.cc/archives/23415

Swann家庭摄像爆出严重安全漏洞：竟能查看陌生家庭视频画面

据英国BBC的消息，这位女士名为Louisa Lewis，她本想用手机查看自家摄像头的实时画面，但当她用手机查看摄像头画面时，摄像机出现的却是陌生家庭的生活画面，通过手机，Lewis看到了一个陌生男人和一个陌生女人在一间陌生的厨房里工作，甚至还有陌生小孩的声音传来。针对此事，Swann向英国BBC表示，Lewis女士的Swann摄像头事故的出现的原始是因为两台不同的Swann摄像头设置了相同的安全密钥，属于人为错误。具体来说，后购买Swann摄像头的家庭在设置他们的相机时，无视了“相机已与已有账号已形成配对”的警告，并继续使用摄像头。因为这个原因，Swann摄像头无法识别和联系正确用户，但报道称事实似乎并非如此，BBC发现这两个用户的登录密码并没有匹配。
详文阅读：
http://www.21ic.com/news/computer/201807/800114.htm