О журнале | Читать онлайн | Публикации | Электронная газета | Подписка | Мероприятия

Журналы в формате iMag

Форум

Публикации

Архив


Новости проекта

Системная интеграция

Отраслевые

Новости CCTV

Новости СКУД

Новости ОПС

Новости ПБ

Электронная газета "Системы безопасности"


Журнал "Системы безопасности"

Каталог "Системы безопасности"

Каталог "Пожарная безопасность"

Рекламодателям


Video & Vision

СКУД. Антитерроризм


Подписка

Платная подписка

Исторический календарь

Контакты

Ссылки

Мероприятия

English

Уязвимости в "умных" колонках Sonos и Bose позволяют проникнуть в корпоративные сети

Реклама на сайте

Уязвимости в "умных" колонках Sonos и Bose позволяют проникнуть в корпоративные сети


28.12.2017

Уязвимости в "умных" колонках Sonos и Bose позволяют проникнуть в корпоративные сети

Исследователь безопасности Стивен Хилт (Stephen Hilt) из компании Trend Micro обнаружил ряд уязвимостей в "умных" колонках Sonos и Bose. Данные уязвимости могут быть проэксплуатированы злоумышленником для проникновения в корпоративные сети, а также для розыгрышей над пользователями.

 Проблемы были обнаружены в колонках Sonos Play:1 и Bose SoundTouch, однако другие модели также могут быть затронуты. Исследователь уведомил обоих производителей.

 В случае с устройствами Sonos проблема заключается в странице конфигурации, которая легко доступна без какой-либо проверки подлинности и обеспечивает доступ к основным функциям устройства.

 Данная страница доступна по URL-адресу http: // [device_IP]: 1400 / status и позволяет злоумышленникам собирать информацию о пользователе, устройстве, локальной сети, а также заставить устройство воспроизводить аудиофайлы, размещенные на удаленных сайтах.

 Все устройства Sonos, подключенные к Сети, позволяют хакерам легко получить доступ к странице конфигурации и всем ее функциям. Эксперты рекомендуют сделать колонки доступными только для локальной сети.

 Эксплуатируя данную уязвимость, злоумышленники могут использовать собранную информацию для внедрения эксплоитов в другие устройства пользователя. Более того, злоумышленники могут собирать данные о пользовательских настройках музыки и использовать эту информацию для осуществления фишинговых атак.

 В настоящее время зафиксированы случаи эксплуатации данных уязвимостей для розыгрышей. По словам двух клиентов, пожаловавшихся на форуме Sonos, устройства воспроизводили жуткие звуки и эффекты взрыва.

 В устройствах Bose была обнаружена схожая уязвимость в виде аналогичной страницы конфигурации и API, которые позволяют злоумышленникам собирать информацию о владельцах устройств.

 Проблемы в устройствах обоих поставщиков выглядят простыми недостатками дизайна, поскольку они могут быть легко скрыты за панелью авторизации, тем самым предотвращая злоумышленникам прямой доступ к функционалу, даже в тех случаях, когда устройство намерено подключено к интернету.

 По данным Shodan, число подключенных к сети уязвимых колонок Sonos составляет около 4-5 тыс., Bose - порядка 500.

 Исследователь также опубликовал видео с демонстрацией уязвимостей.

 

Securitylab


Добавить комментарий

Автор:
Компания:
E-mail:
Уведомлять о новых сообщениях в этой теме да
нет
Текст сообщения:
Введите код:









Реклама на сайте

ПОИСК

РАССЫЛКА

Подписка на новости сайта
Введите ваш e-mail


Реклама на сайте

ЧИТАТЬ ОНЛАЙН



Свежий номер журнала "Системы безопасности"

Вызов консультанта

ПУБЛИКАЦИИ
Видеонаблюдение
Охранно-пожарная сигнализация
Security and IT Management
Системы контроля и управления доступом
Комплексная безопасность, периметровые системы
В центре внимания. Тесты
ОПС, пожарная безопасность





Рейтинг@Mail.ru

Яндекс цитирования


Реклама на сайте | Правила перепечатки материалов | Медиакиты проектов | Авторский договор

Copyright © 2007-2018, ООО "Гротек" | Связаться с нами