Κυριακή, 31 Μαΐου, 23:40
Αρχική security Η HP εντόπισε σημαντικές ευπάθειες σε οικιακά συστήματα ασφαλείας

Η HP εντόπισε σημαντικές ευπάθειες σε οικιακά συστήματα ασφαλείας

Μια μελέτη της HP σε μερικές από τις πιο δημοφιλείς συσκευές ασφαλείας που συνδέονται στο Internet, αποκαλύπτει αξιοσημείωτα κενά ασφάλειας σχετικά με την αυθεντικοποίηση (authentication) και την εξουσιοδότηση (authorization), καθώς και στα cloud based και mobile web interfaces.

HP found flaws - Connected Home Security Systems
Οι ερευνητές από την HP έλεγξαν δέκα από τις πιο πρόσφατες συσκευές και ανακάλυψαν ότι, σε πολλές περιπτώσεις, η ανεπαρκής ενσωμάτωση των μηχανισμών προστασίας θα μπορούσε να παρέχει σε έναν τρίτο τη δυνατότητα να τα χρησιμοποιήσει εναντίον του ιδιοκτήτη τους.

“Η πρόθεση αυτών των συστημάτων είναι να παρέχουν ασφάλεια και απομακρυσμένη παρακολούθηση σε έναν ιδιοκτήτη σπιτιού, αλλά δεδομένων των τρωτών σημείων που ανακαλύψαμε, ο ιδιοκτήτης του συστήματος ασφαλείας στο σπίτι μπορεί να μην είναι ο μόνος που παρακολουθεί το σπίτι”, αναφέρουν οι ερευνητές σε μια πρόσφατη έκθεση .

Η σειρά των αδυναμιών αφορά την έλλειψη ασφάλειας δύο παραγόντων (2FA), η οποία εντοπίστηκε μόνο σε μία περίπτωση και σε θέματα σχετικά με την κακή εφαρμογή του προτύπου ασφαλούς επικοινωνίας SSL/TLS για mobile και το cloud-based interface, το οποίο επέτρεψε την αξιοποίηση της ευπάθειας POODLE.

Αδυναμία που εντοπίστηκε σε όλες τις συσκευές που ελέγχθηκαν αποτελούσε το γεγονός ότι επιτρεπόταν η χρήση αδύναμωνς κωδικών πρόσβασης, με το χαμηλότερο επίπεδο να συνιστάται από έξι αλφαριθμητικούς χαρακτήρες. Αυτό, σε συνδυασμό με την την επισφαλή μέθοδο ανάκτησης κωδικού πρόσβασης ή τα ανεπαρκώς προστατευμένα log-ins μπορεί να οδηγήσει σε μη εξουσιοδοτημένη πρόσβαση τρίτων.

Η δυνατότητα επιθέσεις τύπου brute-force εντοπίστηκε επίσης από τους ερευνητές, καθώς ορισμένα συστήματα δεν είχαν περιορισμό στον αριθμό των αποτυχημένων προσπαθειών log-in.

Ευπάθειες τύπου account enumeration παρατηρήθηκαν σε επτά περιπτώσεις. Αυτό θα επέτρεπε σε κάποιον αποκτήσει γνώση για το λογαριασμό χρήστη ενός στόχου από τις απαντήσεις που επιστράφηκαν από διαφορετικές authorization υπηρεσίες, όπως είναι για παράδειγμα το feedback από ενέργεια επαναφοράς κωδικού πρόσβασης ή από αποτυχημένα log-ins.

Η HP ενημερώνει ότι πολλά από τα υπό μελέτη συστήματα εγείρουν ανησυχίες όσον αφορά στον μηχανισμό αναβάθμισης του firmware, ο οποίος βασίζεται σε μη κρυπτογραφημένη σύνδεση για τη μεταφορά. Ακόμη πιο ανησυχητικό είναι το γεγονός ότι ένα από τα συστήματα τροφοδοτούσε το αρχείο ενημέρωσης μέσω FTP και επέτρεπε την καταγραφή των διαπιστευτηρίων, γεγονόες το οποίος έδωσε δικαιώματα εγγραφής στον διακομιστή.

Επιπλέον η HP αναφέρει ότι όλες τις συσκευές συλλέγουν διάφορα είδη προσωπικών πληροφοριών, συμπεριλαμβανομένων των δεδομένων καρτών πληρωμής και των αριθμών τηλεφώνου μαζί με το όνομα, τη διεύθυνση ή / και την ημερομηνία γέννησης του χρήστη.

Μία από τις καλύτερες συστάσεις για τους καταναλωτές είναι να αλλάξουν το προεπιλεγμένο όνομα χρήστη και τον κωδικό πρόσβασης που παρέχεται από τον κατασκευαστή. Επίσης, μια καλή συμβουλή είναι να δώσουν προσοχή στα διαθέσιμα χαρακτηριστικά ασφάλειας της κάθε συσκευής.

Οι επιχειρήσεις μπορούν να απομονώσουν τις συσκευές από το υπόλοιπο δίκτυο, προκειμένου να αποφευχθεί η εισβολή.

ΑΦΗΣΤΕ ΜΙΑ ΑΠΑΝΤΗΣΗ

Please enter your comment!
Please enter your name here

LIVE NEWS

00:02:18

Πώς να προσθέσετε το YouTube κανάλι ή το Instagram σας στο TikTok

Το TikTok, μια από τις πιο διάσημες πλατφόρμες κοινωνικών δικτύων για τη δημιουργία και την ανάρτηση μίνι-βίντεο, έχει αποκτήσει μια μεγάλη βάση...

Γνώστα website σαρώνουν τους υπολογιστές των επισκεπτών τους

Πολλά γνωστά και ευρέως χρησιμοποιούμενα website χρησιμοποιούν ένα script προστασίας από απάτες, το οποίο σαρώνει τον τοπικό υπολογιστή σας για προγράμματα απομακρυσμένης...

Google Chrome: Νέο “anti-notification spam” σύστημα από τον Ιούλιο

Η Google ανακοίνωσε ότι σχεδιάζει να ενεργοποιήσει το νέο της "anti-notification spam" σύστημα στο Chrome, με την...

Η Amtrak επαναφέρει τους κωδικούς πρόσβασης των χρηστών μετά από παραβίαση δεδομένων

Η National Railroad Passenger Corporation (Amtrak) αποκάλυψε μια παραβίαση δεδομένων που οδήγησε στην έκθεση προσωπικών πληροφοριών ορισμένων μελών του Guest Rewards.

Οι διαμαρτυρίες στις ΗΠΑ καθυστερούν την εκδήλωση για το Android 11

Όπως ήταν προγραμματισμένο, η εκδήλωση για την παρουσίαση των χαρακτηριστικών του νέου Android 11 από την Google...

Η Cisco παραβιάστηκε μέσω εκμετάλλευσης των SaltStack servers

Η Cisco είπε σήμερα ότι ορισμένοι από τους servers υποστήριξης Cisco Virtual Internet Routing Lab Personal Edition (VIRL-PE) παραβιάστηκαν με εκμετάλλευση κρίσιμων...

Valak Malware: Κλέβει δεδομένα από Microsoft Exchange Servers

Το 2019, το Valak Malware παρατηρήθηκε για πρώτη φορά, ως malware loader. Πρόσφατα όμως, έγινε γνωστό ότι...

Συσκευή “anti-5G” που κοστίζει $ 350 είναι απλά ένα USB stick

Οι φαν των θεωριών συνωμοσίας 5G έχουν ήδη αγοράσει ένα κλειδί USB anti-5G με τιμή 350 $ που φαίνεται να είναι...

Windows 10 Pro με $13 με τον SecNews κωδικό έκπτωσης

Αποκτήστε τα Windows 10 Pro με $13 με τον SecNews κωδικό έκπτωσης: Αυτή τη περίοδο οι ώρες εργασίας από το σπίτι είναι...

Διέρρευσαν δεδομένα 47,5 εκατομμυρίων χρηστών του Truecaller

Η εφαρμογή Truecaller, βοηθά στον εντοπισμό των ανώνυμων κλήσεων και προσφέρει την επιλογή επισήμανσης των spammers.