Skip to Main Content
物联网设备安全
book

物联网设备安全

by Nitesh Dhanjani
March 2017
Intermediate to advanced content levelIntermediate to advanced
262 pages
5h 26m
Chinese
China Machine Press
Content preview from 物联网设备安全
傻瓜盒子
——
攻击
智能
电视
143
码。然后,这一恶意代码会将用户名密码作为参数发送到
evil.com
服务器。控制
evil.
com
的攻击者,查看
web
服务器的日志就会注意到密码。这时,攻击者可以快速地登录
Skype
,并劫持受害人的账号。
Grattafiori
Yavor
发现了好几处可以利用的,并与
Skype
有关的这类漏洞。
web
浏览
器设计人员深知要将类似
JavaScript
代码这样的客户端代码置入沙箱中,要遵从同源策
略(
same-origin policy
)。这是
web
安全领域最基本的众所周知的安全理念。三星的产
品实现方案违背了这一最基本的安全原则。从外部域加载进来的
JavaScript
代码不应当
使用与本地文件系统加载的代码相同的权限执行。进一步讲,为引入自定义的功能对
JavaScript
解释器的调整要非常小心,确保设计不会产生安全
bug
。从这个例子中我们得
到的教训是:类似数据有效性和坚持同源策略这些安全基础是最基本的安全需求,应当
被加入到智能电视和其他物联网设备的设计理念当中去。并没有多么复杂的攻击手段,
都是一些基本的十多年来业界熟知的攻击向量。
其他研究人员还发现:三星还有其他几处违反基本安全机制的漏洞,比如输入验证漏洞。
值得注意的一个研究人员是
SeungJin Lee
Seungjoo Kim
,他们俩发现了多处三星产
品的漏洞。他们的研究内容值得研究,可以在网上找到。
类似三星这样的物联网制造商,需要在贯彻这些基本原则上做得更好,以保护他们的业
务和合法用户的隐私。如此简单的攻击就可以在智能电视上安装一个可持久利用的后门, ...
Become an O’Reilly member and get unlimited access to this title plus top books and audiobooks from O’Reilly and nearly 200 top publishers, thousands of courses curated by job role, 150+ live events each month,
and much more.
Start your free trial

You might also like

数据科学之编程技术:使用R进行数据清理、分析与可视化

数据科学之编程技术:使用R进行数据清理、分析与可视化

迈克尔 弗里曼, 乔尔 罗斯
手把手教会你linux

手把手教会你linux

桑德.范.乌格特
C语言核心技术(原书第2版)

C语言核心技术(原书第2版)

Peter Prinz, Tony Crawford

Publisher Resources

ISBN: 9787111558668