小米M365滑板车出现严重性漏洞恐遭远程攻击
2019独角兽企业重金招聘Python工程师标准>>>
美国行动安全业者Zimperium揭露,小米科技旗下的米家电动滑板车含有远程攻击漏洞,将允许黑客自远程锁住滑板车,或是无预警地将滑板车剎车或加速。这款含有漏洞的滑板车型号为Xiaomi M365,它是台可折迭的电动滑板车,最高时速为每小时25公里,售价1,999元人民币(约9,210元新台币),在2017年曾获得全球多项知名设计奖的肯定。
Zimperium平台研究总监Rani Idan说明,米家电动滑板车允许用户透过程序与蓝牙来操控它的功能,诸如防盗系统、巡航定速、环保模式,或是用来更新韧体等,且每台滑板车都受到密码的保护。然而,Idan却发现,滑板车的认证程序并未正确地导入密码机制,让密码只于应用程序端验证,滑板车本身却未跟上其验证状态。根据Idan向Wired的说明,当他们以蓝牙存取电动滑板车时,并未被要求输入密码或执行其它认证,这使得他们得以执行所有功能,包括植入恶意韧体。Zimperium已打造一概念性验证程序,能够以手机远程启动防盗系统,锁住附近的米家电动滑板车,甚至可锁住远在100米外的滑板车,并已释出供研究人员评估,此外,Zimperium也已成功开发出可用来加速滑板车的恶意韧体,但为安全考虑而不准备公开。小米在今年1月底收到Zimperium通知时,透露内部已得知此一问题,但这是个与第三方业者合作的产品,小米正尝试与对方讨论解决方案。Idan则说,此一安全漏洞仍然需要小米或其合作对象负责修补,用户端并无轻易修复之道。内文来源:http://www.cafes.org.tw/info.asp
转载于:https://my.oschina.net/u/4024424/blog/3010579
小米M365滑板车出现严重性漏洞恐遭远程攻击相关推荐
- 小米M365电动滑板车的设计缺陷可被利用实现“远程”控制
小米M365电动滑板车的设计缺陷允许研究人员在距其100米的范围内***它,迫使滑板车刹车或加速. Zimperium的研究人员周二发布了关于该***的概念验证(PoC).在***过程中,他们发动了拒 ...
- 小米 M365有致命漏洞!骇客能轻易远端控制
虽然香港政府尚未容许电动滑板车在香港的街道上行驶,不过在不少大城市,都已经成伙人们常用的代步工具.如今,有信息安全公司发现,小米 M365 电动滑板车的蓝牙模块上存在一个漏洞,客许用家远程控制滑板车的 ...
- Fortinet 防火墙受高危漏洞影响,可遭远程攻击
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士 最近,Fortinet 修复了 FortiWeb web 应用程序防火墙 (WAF) 中的一个高危漏洞,它可被用于执行任意命令.如被与错误 ...
- OPPO R11网络口碑扑街,OPPO 新品恐遭滑铁卢!
OPPO R11新品发布会已经成为过去.但人们口中谈论的话题中心并不是OPPO 的新机,而是林忆莲确实老了,迪玛希秋意浓挺好,就是氛围不大合适,黄贯中和叶世荣唱得还可以,但还是生活在 BEYOND 的 ...
- 浏览器安全检查己通过_小米薄荷浏览器URl欺骗漏洞(CVE-2019-10875)的安全修复被绕过...
前几日,网络上曝出小米薄荷浏览器存在URL欺骗漏洞,攻击者可把恶意链接伪装成权威网站的URL,对受害者进行钓鱼攻击.小米公司在收到报告后迅速发布了安全补丁,修复了这一漏洞.但近期,又有人曝出该安全补丁 ...
- HTML5再曝漏洞 安全性遭质疑
2013年03月14日 10:51:01 来源: 人民邮电报 作为新一代Web语言,HTML5凭借丰富应用.跨平台等特点被公认为未来网页技术的发展方向,并且被全球多家主流厂商寄予厚望.然而,在已经过 ...
- Spring4Shell 漏洞已遭Mirai 僵尸网络利用
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 Mirai 恶意软件正在利用 Spring4Shell exploit 感染易受攻击的 web 服务器并将其纳入DDoS(分布式拒绝服务)攻击. ...
- 新漏洞可导致西门子 PLCs 遭远程攻击
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士 工业网络安全公司 Claroty 的研究员发现一个严重漏洞,可遭远程未认证攻击者入侵西门子制造的某些可编程逻辑控制器 (PLCs). 该漏 ...
- 记一次小米路由器任意文件读取漏洞
文章目录 前言 一.漏洞发现 二.漏洞挖掘 1.简单的爆破 2.文件读取 三.漏洞利用 总结 前言 任意文件读取漏洞,是web安全里高危的漏洞,它可以泄露源码.数据库配置文件等等,导致网站处于极度不安 ...
最新文章
- python语言是编译型语言-Python程序的执行过程原理(解释型语言和编译型语言)...
- 点击php文件显示下载文件,求助 为什么编的下载文件代码,打开后下的全是php文件...
- 164. 可达性统计【拓扑排序 / bitset】
- 第3讲--3.1旋转矩阵
- memcached和redis的区别
- 微信小程序使用template模板
- wxml代码支持js代码吗_如何取胜:代码支持者的建议
- 我的播客开通的第一天
- 网格(UED所谓栅格化)方案生成器
- 虚拟机上搭git服务器,搭建gitlab服务器
- for循环里面嵌套if_信不信两层python嵌套for循环就能把你搞懵了
- 浅议PIM(一文看懂PIM)
- Centos下 为Firefox安装Flash插件
- mysql 复杂类型_MySQL 复杂数据类型之JSON数据
- NRF52840 BLE OTA
- react18的SSR
- 解析云产品SLA的价值
- Linux加密框架 crypto 哈希算法说明 同步哈希shash_alg | 异步哈希 ahash_alg | 通用部分抽象 hash_alg_common
- 元气骑士如何获得机器人成就皮肤_《元气骑士》听过浮游炮大礼包吗?有利于快速获取机器人的皮肤!...
- MMORPG网络游戏开发之用户管理