https://static.jiayezz.com/df/5dd3310da26096d06dbcf5cb0e5625

        来自Trend Micro的消息称,超过610万的智能设备,包括智能电视和路由器从2012年到现在都没有修复过软件漏洞。

        由于一个存在三年之久的软件漏洞,数以百万的智能电视、路由器和手机都处于危险之中。Trend Micro的专家认为,从2012年起,尽管许多的供应商都拥有修补程序,这个安全漏洞都没有被修补过。

        “总计610万的设备,包括智能手机、路由器和智能电视,现在都有被远程代码执行攻击的风险,这都是因为自从2012年起就没修复过的漏洞。”Veo Zhang写道,他是Trend Micro的一名移动风险分析师。“这些漏洞存在于UPnP™的便携式软件开发工具包中,也叫作libupnp。这种特定的库用来实现媒体回放(DLNA)和NAT穿越(UPnP IGD)。智能手机上的应用程序可以利用这些功能来播放媒体文件,或是连接到用户家庭网络中的其他设备。“

        Trend Micro发现有547种应用程序在使用一个未安装修复程序的软件组件,其中有326种在谷歌应用商店里可以找到,并且绝大多数都是拥有百万用户的热门应用。其中一个是由腾讯开发的QQ音乐,新闻披露这一消息后,该公司在11月23日迅速对安卓的应用程序进行了更新。

          ”这些被广泛运用的应用程序将数百万的用户置于危险之中,除了智能手机之外,路由器和智能电视也在劫难逃。“他补充道。

        我们进行过多次讨论,主要就智能设备,aka物联网设备,以及他们收集共享大量信息的能力,包括敏感数据,这引起了隐私方面的热切关注。

        我们暴露给攻击者的领域正在被史无前例地扩大着,不论是在工作场所还是个人生活。安全行业的专家们表示,大多数物联网厂商不会采用设计方案来保证安全。所以智能设备存在不当配置,或是遭到严重安全漏洞影响这样的现象相当常见。

        在这种特定情况下制造商无法实施有效的修补程序管理。数以百万的不堪一击的设备,像是路由器和智能电视就这样暴露在互联网之中了。

        Trend Micro的专家证实了威胁制造者已经在攻击这些脆弱的设备了,通过利用这些漏洞,攻击者可以完全控制整个目标系统。

         一旦发现一个存在漏洞的设备,攻击者就会发送一个特别构建的数据包来触发缓冲区溢出。在下面这个代码中,TempBuf缓冲区会溢出并且导致系统崩溃。

https://static.jiayezz.com/ff/c8f732fa124564b3ae5d749dd22bbc

          ”进一步研究发现,利用这个漏洞不仅可以导致系统瘫痪,还可以在此设备上运行任意代码。这样的功能就使得攻击者可以控制该设备,就像是在自己的电脑上一样,‘继续开机自检’我们已经看见了目标设备上的漏洞,这些设备都没有使用例如stack canaries、DEP或是ASLR这样的缓存保护。对于拥有完好保护的系统,我们还不知道现在有没有类似的漏洞,能够提供远程代码执行。”

        这个安全漏洞影响了UPnP设备的便携式软件开发工具包中的libupnp代码库,这个代码库被用来媒体播放和NAT功能。

        下面列出了一些最热门的受影响应用:

        常见名称

        数据包名称有如下:

      • AirSmartPlayer

      • com.gk.airsmart.main

      • Big2Small

      • com.alitech.dvbtoip

      • CameraAccess plus

      • jp.co.pixela.cameraaccessplus

      • G-MScreen

      • mktvsmart.screen

      • HexLink Remote (TV client)

      • hihex.sbrc.services

      • HexLink-SmartTV remote control

      • com.hihex.hexlink

      • Hisense Android TV Remote

      • com.hisense.commonremote

      • Netflix

      • com.netflix.mediaclient

      • nScreen Mirroring for Samsung

      • com.ht.nscreen.mirroring

      • Ooredoo TV Oman

      • com.ooredootv.ooredoo

      • PictPrint – WiFi Print App –

      • jp.co.tandem.pictprint

      • qa.MozaicGO.Android

      • Mozaic GO

      • QQMusic

      • com.tencent.qqmusic

      • QQ音乐HD

      • com.tencent.qqmusicpad

      • Smart TV Remote

      • com.hisense.common

      • Wifi Entertainment

      • com.infogo.entertainment.wifi

      • モバイルTV(StationTV)

      • jp.pixela.px01.stationtv.localtuner.full.app

      • 에브리온TV (무료 실시간 TV)

      • com.everyontv

      • 多屏看看

      • com.letv.smartControl

      • 海信分享

      • com.hisense.hishare.hall

文章原文链接:https://www.anquanke.com/post/id/83057