腾讯发现14个宝马漏洞|Z-Wave遇降维打击

近日,360公司的Vulcan团队发现了区块链平台EOS的一系列高危漏洞。

a

经验证,部分漏洞可以在EOS节点上远程执行任意代码,直接控制和接管EOS上运行的所有节点,包括交易所充值提现节点、数字货币钱包服务器节点等。由于区块链网络自身区中心化的特点,一个区块链节点上的安全漏洞一旦被利用,就可能扩散到整个区块链网络。

EOS被称为“区块链3.0”的区块链平台,目前代币市值高达690亿人民币,全球市值排名第五。360安全团队已经于29日凌晨将漏洞上报给官方,并协助其修复安全隐患。EOS网络负责人表示,在这些漏洞修复之前,EOS网络将不会上线。

腾讯科恩实验室最近发现了14个宝马车漏洞,这些漏洞涉及车载娱乐系统、车辆控制系统、无线通信系统,受到影响的宝马车系最早可以追溯到2012年。其中4个漏洞需要攻击者通过USB直接物理接入车辆,而6个可以远程利用,其余4个需要直接物理接入车辆的计算机。

腾讯的报告中指出这些漏洞能让攻击者对车载计算机实行任意命令,远程发起分析要求。另外,如果攻击者能直接物理接入车辆,USB、以太网和OBD-II端口也会被利用。因为USB以太网接口没有安全限制,它会被攻击者利用接入主要部件并且通过端口扫描检测到内部服务。这些攻击会造成的严重后果之一就是即使在车辆行驶当中,依然会去执行攻击者发出的对引擎控制单位的诊断信息。

宝马已经在全力通过网络和经销商发布安全补丁。同时宝马也表示,这项研究是宝马的安全团队和腾讯联合进行的,标志着“第三方由于他们自身有深度的产品测试和服务能力,正在改善车辆安全中扮演越来越重要的角色”。

研究员最近发现,被上亿物联网设备使用的Z-Wave无线通信协议,会遭受到安全降维打击。

Z-Wave在2001年被开发,2008年被Sigma Designs收购,而近日被Silicon Labs以2.4亿美元收购。该协议如今被700多家公司用于超过2400种物联网以及智能家居设备,包括温度计,锁以及家庭监控系统。研究者发现,攻击者可以在目标设备的信号范围内,在匹配流程中进行过攻击并且破解安全通信。研究人员已经通过破解Yale智能锁示范了“Z-Shave”的攻击方式,而这种方式实际上对所有Z-Wave设备都有效。

Z-Wave如今是 S2版本,之前的S0版本在2013年被发现漏洞后,改进到了现在的版本。而现在研究人员发现,可以通过将连接方式降维到S0版本进行攻击。暂时的攻击只能在连接建立的时候进行,而研究者也在尝试能否让已连接设备断开服务。

事实上,这种降维攻击去年就被安全咨询公司SensePost爆出,而供应商则表示这个隐患是设计必须的,因为这个协议需要向下兼容。另外,Silicon Labs向使用者保证该风险低危,并且暂时现实中的漏洞利用的可能性很小,场景很局限。

上一篇:安全运营中心自动化究竟是好还是坏?

下一篇:Fortinet荣获“最佳新零售网络安全解决方案”奖