Tag: iot

Telewizory kontaktują się z Netfliksem nawet jeśli nie mamy tam konta… Zobaczcie też inne ciekawe dane, które wysyłają do netu popularne urządzenia IoT

19 września 2019, 11:25 | W biegu | komentarze 2

Zobaczcie na to dość rozbudowane badanie. Przygotowano testowo ekstremalnie smart apartament: Były tam telewizory, dongle do telewizorów, kamery, suszarki do ubrań, dzwonki, pralki, żarówki czy asystenci głosowi – wszystko bardzo inteligentne i wysyłające dane do Internetu (w sumie 81 urządzeń umieszczonych w labie znajdującym się w UK oraz osobnym w…

Czytaj dalej »

Znaleźli 150 podatności w domowych routerach i dyskach sieciowych (NAS). Czego tam nie ma… SQL injection, buffer overflow, omijanie uwierzytelnienia, dostęp na root, …

18 września 2019, 10:18 | W biegu | komentarzy 8

Jeśli ktoś chce zobaczyć trochę realnych, świeżych podatności w IoT, zachęcam do lektury wyników badania projektu SOHOpelessly Broken 2.0. Na celownik wzięto 13 urządzeń, w których każde miało minimum jedną podatność webowo-aplikacyjną (co nie dziwi…): All 13 of the devices we evaluated had at least one web application vulnerability such…

Czytaj dalej »

Ciekawostka: certyfikat + klucz prywatny Huawei znaleziono w firmware switcha Cisco

05 lipca 2019, 13:38 | W biegu | 1 komentarz

Świeża analiza w tym miejscu. Po zautomatyzowanej analizie firmware urządzenia Cisco SG250 Smart Switch badaczy frapowało pytanie „kim jest tajemniczy gary.wu1(at)huawei.com ?” widoczny na jednym z certyfikatów (warto zauważyć, że do certyfikatu udało się również znaleźć klucz prywatny): Badacze zgłosili tę ciekawostkę do Cisco, które opublikowało stosowną informację. Tutaj z kolei…

Czytaj dalej »

Być może Twój dom ma zahardkodowany klucz SSH? Można go wtedy zdalnie otworzyć…

03 lipca 2019, 12:32 | W biegu | 1 komentarz

Ciekawa (standardowa ;) podatność (czy seria podatności) w kontrolerze: ZipaMicro Z-Wave Controller Model #ZM.ZWUS. Urządzenie to jest stosowane we wdrożeniach inteligentnych domów – m.in. w kwestii otwierania drzwi do mieszkań czy domów. I taki scenariusz przeanalizowali badacze. Po pierwsze okazało się, że hub posiada jeden zahardkodowany klucz na roota. Użycie…

Czytaj dalej »

Smart Home + Dumb Security. Wyciekło 2 miliardy rekordów z hasłami (md5), kodami resetu kont, loginami, geolokalizacją. Producent nie zareagował…

01 lipca 2019, 17:22 | Aktualności | 0 komentarzy
Smart Home + Dumb Security. Wyciekło 2 miliardy rekordów z hasłami (md5), kodami resetu kont, loginami, geolokalizacją. Producent nie zareagował…

A to wszystko z firmy Orvibo, która dostarcza przeszło 100 produktów klasy IoT – od domowych alarmów, przez inteligentne wtyczki, kamery, aż po urządzenia do obsługi rolet czy klimatyzacji. Milion klientów na całym świecie, instalacje w domach i firmach. Wygląda ciekawie, szczególnie w kontekście wycieku danych…

Czytaj dalej »

Konkurencja do Chrome. Przeglądarka `chrome4hackerz; /bin/busybox telnetd -l /bin/sh -p 4444;` rootuje bez uwierzytelnienia extendery TP-Linka

21 czerwca 2019, 10:19 | W biegu | komentarzy 8

Interesująca podatność w extenderach TP-Linka znaleziona przez Grzegorza Wypycha. W żądaniu HTTP do urządzenia wystarczy ustawić nagłówek User-Agent na `chrome4hackerz; /bin/busybox telnetd -l /bin/sh -p 4444;` (część po ` a przed pierwszym średnikiem – dowolna :) i mamy wykonanie kodu w OS jako root (w tym przypadku na porcie 4444 czeka na nas rootshell): Podatne modele…

Czytaj dalej »

Szpitale, markety z urządzeniami chłodniczymi dostępnymi na domyślnych hasłach z Internetu (Polska też na mapie!)

09 lutego 2019, 12:27 | W biegu | komentarzy 5

O Shodanie i podobnych narzędziach pisaliśmy nie raz. Tym razem ktoś namierzył urządzenia znanej firmy produkującej m.in, sprzęt kontrolujący temperaturę – dostępne w Internecie. Interfejs przeglądarkowy + brak haseł (dla takich przypadków widzicie zrzuty ekranowe poniżej) lub domyślne hasła admina: nie wygląda to dobrze. W ramach demo, autorzy badania pokazali…

Czytaj dalej »

Japonia już za miesiąc ma hackować urządzenia IoT swoich obywateli. Na początek routery i kamery

27 stycznia 2019, 21:38 | W biegu | 1 komentarz

Tego typu zaskakującą informację przynosi serwis Zdnet. Chodzi o sprawdzenie przez rząd (dokładniej – przez przedstawicieli National Institute of Information and Communications Technology (NICT)) domyślnych / słownikowych haseł na około 200 milionach urządzeń IoT w Japonii. Rząd obawia się problemów na przyszłorocznej olimpiadzie – stąd ten bezprecedensowy krok. Ochrona przez atak?…

Czytaj dalej »

Zhackowali bezprzewodowo dźwig budowlany – możliwość poruszania, awaryjnego stopowania, …

16 stycznia 2019, 11:27 | W biegu | komentarze 2

Zastanawialiście się kiedyś w jaki sposób kontrolowane są dźwigi budowlane? Wiele z nich za pomocą radia. Czy komunikacja radiowa jest odpowiednio zabezpieczona? Czasem jest to tylko „kodowanie” (dla nietechnicznych – to nie jest to samo co szyfrowanie :), czasem szyfrowanie można łatwo ominąć, albo np. wykonać replay na przechwyconym pakiecie….

Czytaj dalej »

Co było największym problemem bezpieczeństwa IoT w 2018 roku? (OWASP Top Ten IoT)

31 grudnia 2018, 10:46 | W biegu | 0 komentarzy

Na pytanie można odpowiedzieć prosto – przeglądnijcie zestawienie poniżej. W przeciągu ostatnich lat nie mamy tutaj zbyt dużo zmian – słabe hasła (lub takie zahardcodowane, o których nawet nie wiemy), masa kiepsko skonfigurowanych usług, czy jak zwykle kiepsko rozwiązane kwestie aktualizacji: Jak też widać OWASP zajmuje się nie tylko bezpieczeństwem aplikacji…

Czytaj dalej »

Niemiecka agencja rządowa publikuje wymagania bezpieczeństwa dla domowych routerów. Można uzyskać oznaczenie „bezpieczny router”

26 listopada 2018, 22:18 | W biegu | komentarze 3

Dość szczegółowy dokument można pobrać tutaj. Znajdziemy tutaj m.in wymagania dotyczące: ustawień firewalla (np. jakie usługi nie mogą być dostępne na zewnątrz), minimalnych wymagań dla haseł czy wymaganej dostępności WPA2. W dokumencie są też opisane elementy związane z DNS (łącznie z takimi szczegółami jak kwestia odporności na atak DNS rebinding)…

Czytaj dalej »

Twoje serce połączone jest z Internetem? FDA ostrzega przez nieautoryzowanym dostępem przez sieć

16 października 2018, 14:19 | W biegu | komentarze 2

Alert został ogłoszony kilka dni temu. Tym razem problematyczne okazały się kardiosymulatory (en. pacemakers), czyli urządzenia wszczepiane do ciała pacjenta i stymulujące serce na rozmaite sposoby:   Bardziej konkretnie, problem jest z urządzeniami umożliwiającymi aktualizację firmware urządzeń (programatorami) – niby pobieranie może być zrealizowane tylko przez VPN, ale programatory tego nie…

Czytaj dalej »