|
Post by account_disabled on Apr 17, 2024 3:48:06 GMT
者可以尝试猜测特定机器人的或者玩轮盘赌并调用随机。彻底劫持父母账户这还没有结束。这个简单的系统允许任何拥有机器人的人从服务器获取大量个人信息地址、居住国家、孩子的姓名、性别和年龄以及父母的帐户详细信息父母的电子邮件地址、电话号码和电话号码。将家长应用程序链接到机器人的代码。这反过来又为更危险的攻击创造了机会完全劫持家长的帐户。恶意行为者只需要遵循几个简单的步骤第种方法是使用之前获得的电子邮件地址或电话号码从父母自己的设备登录父母的帐户。授权需要发送个唯的六位代码但登录尝试是无限的因此暴力攻击会起作用。只需轻轻击即可解除机器人与家长真实账户的关联。 接下来的事情就是将其链接到攻击者的帐户。帐户验证基于上述链接代码服务器将其发送给所有感兴趣的各方。如果攻击成功家长将失去对机器人的所有访问权限并且需要联系技术支持才能恢复。即使如此攻击者也可以再次重复整个过程因为他所需要的只是机器人而该保持不变。加载修改后的固件最后通过研究机器人各个系统的工作方式我们发现了软件更新过程中的安全问题。更新包没有数字签名机器人安装了从提供 阿曼数据 商服务器收到的特殊格式的更新文件而没有先运行检查。这创造了攻击更新服务器、用修改后的文件替换文件以及上传恶意固件的可能性这些固件允许攻击者在所有机器人上以超级用户权限执行任意命令。 理论上攻击者能够控制机器人的动作、使用内置摄像头和麦克风进行监视、给机器人打电话等。如何保持安全然而这个故事有个美好的结局。我们向玩具开发商通报了我们发现的问题他们采取了措施来解决这些问题。上述所有漏洞均已修复。最后这里有些使用智能设备时保护自己的提示请记住所有类型的智能设备甚至玩具通常都是非常复杂的数字系统其开发人员通常不保证用户数据的安全可靠存储。购买设备时请务必仔细阅读用户评论和评论最好是您可能找到的任何安全报告。请记住仅仅发现设备中的漏洞并不意味着它就低劣问题可以在任何地方找到。您应该寻找的是供应商的回复这是个很好的迹象表明问题是否已得到解决。如果供应商不关心的话那就不好了。为防止人们通过智能设备监视您或监听您的声音请在不使用智能设备时将其关闭并关闭快门或盖住相机。最后不言而喻您应该使用可靠的安全解决方案来保护家庭设备中的每个人。确实攻击玩具机器人是种奇异的威胁但今天在网上遇到其他类型威胁的可能性仍然很高。
|
|