严重安全漏洞使610万物联网移动设备暴露在远程代码执行之下
相关标签: # 漏洞# 研究# 黑客# 工具# 缺陷
610多万台智能设备使用的软件组件中存在一个三年前的安全漏洞,许多供应商仍未修补该漏洞,从而使智能电视、路由器、智能手机和其他物联网(IoT)产品面临被利用的风险。
趋势科技(Trend Micro)的安全研究人员揭露了该漏洞,该漏洞自2012年以来就已为人所知,但尚未修补。
远程代码执行漏洞
研究人员发现了一组远程代码执行(RCE)网络中的漏洞用于UPnP的可移植SDK或libupnp组件–;移动设备、路由器、智能电视和其他物联网设备用于通过网络传输媒体文件的软件库。
这些缺陷是由于简单服务发现协议(SSDP)中的缓冲区溢出造成的,这可能使黑客能够完全控制运行易受攻击版本的软件开发工具包(SDK)的目标设备。
研究人员称,这些漏洞实际上是在2012年修补的,但许多应用程序仍然使用该库的过时版本,允许对安装有缺陷应用程序的设备进行远程代码执行攻击。
“我们发现547个应用程序使用了旧版本的libupnp,其中326个可以在谷歌Play商店中找到。”趋势科技(Trend Micro)移动分析师张维奥(Veo Zhang)在周四发布的一篇博客文章中写道。
数百万人下载的易受攻击应用程序
受该漏洞影响最大的应用是QQ音乐播放器,仅在中国就有超过1亿人使用,数百万安卓用户已从谷歌Play商店下载。然而,安全问题已由开发商解决。同样被数百万人下载的Netflix应用程序也被认为受到该漏洞的影响,不过研究人员表示:
“在与Netflix进一步澄清后,我们了解到Netflix使用了自己的libupnp fork,因为该API不再是较新版本libupnp的一部分。然而,他们的fork也包含较新版本libupnp的修复程序,因此我们相信他们不会受到针对该漏洞的潜在远程代码执行攻击的影响."
其他使用该库过时版本的流行应用程序包括三星的nScreen Mirroring、CameraAccess Plus和智能电视遥控器。
尽管QQMusic和LinPhone的制造商已经解决了这个问题,并发布了应用程序的修复程序,但建议用户检查他们的设备中是否有这些应用程序,如果发现,只需将其删除或检查更新即可。
安全研究人员正在继续寻找更易受攻击的应用程序。
特别声明:以上内容(图片及文字)均为互联网收集或者用户上传发布,本站仅提供信息存储服务!如有侵权或有涉及法律问题请联系我们。
举报
