Segway Hoverboard中发现的关键漏洞 2016-11-04 04:12:01

$888.88
所属分类 :金融

在赛格威生产的悬浮滑板中发现了严重的安全漏洞,这可能使车辆容易受到攻击并使乘客处于危险之中

网络安全公司IOActive的研究人员发现的漏洞影响Segway Ninebot miniPRO悬浮板,如果被利用,将允许攻击者绕过安全机制并获得远程控制悬浮滑板的能力

阅读:Hoverboard消防安全危害:自平衡滑板车引发的关注导致存储禁令根据IOActive的嵌入式设备安全顾问Thomas Kilbride的说法,攻击者可以使用默认的PIN码000000通过蓝牙连接Segway hoverboard - 即使用户设置了自己的PIN,也能正常工作的PIN

一旦连接到设备,攻击者就可以看到悬浮板和移动应用之间的通信,允许用户控制Ninebot miniPRO

应用程序和悬浮板之间的通信未加密

Ninebot移动应用程序还使用智能手机的GPS来索引骑手正在使用该设备的位置,该应用程序在应用程序中实时显示在公共可访问的地图上,使攻击者可以轻松跟踪某人的位置

Kilbride研究中最令人不安的是恶意行为者将损坏的固件更新应用于电路板的能力

Segway的悬浮板不执行完整性检查以确保固件更新是合法的,因此攻击者可以将任意更新推送到悬浮板并绕过安全保护

阅读:悬浮板是否危险

美国最大的假冒自平衡滑板车被缉获在芝加哥报道如果任何漏洞被利用,可能会给悬浮滑板车主造成相当大的麻烦和潜在伤害

攻击者可以更改电路板的PIN并锁定用户

他们还可以利用他们对电路板的访问来远程执行操作,包括修改设置,调整速度或方向,改变电路板上的灯光颜色,或者在骑车人使用时突然停止Segway

新闻周刊将于9月26日至27日在旧金山举办结构安全活动照片:新闻周刊媒体集团黑客还可以通过上传未经验证或损坏的固件更新对董事会造成永久性损害

这种攻击可能对董事会的内部系统造成不可逆转的伤害

IOActive于2016年12月首次发现了赛格威Ninebot miniPRO悬浮板的安全漏洞,并在1月份披露了该公司的漏洞

据报道,截至4月份,这些漏洞已被修补 - 但要求用户下载更新以确保无法利用这些漏洞

由于机械和电气故障导致电路板爆炸并造成重大损坏,美国的监管机构和消费者保护组织过去一直瞄准悬浮板

但是,该委员会尚未对董事会发布任何技术法规,要求适当的安全措施以防止网络攻击

目前还不清楚其他悬浮板是否存在类似的漏洞并且可能被攻击者利用