首页 > 物联网 > 正文

物联网时代 权限滥用漏洞的攻击及防御

2016-01-28 16:12:34  来源: do9gy TSRC博客

摘要:权限滥用漏洞除了在android真机调试场景以外还有很多其他发生场景。在物联网领域应用尤为广泛。
关键词: 物联网

 

 
  接下来,我们可以访问手机的摄像头功能。
 
\
  这里我们可以看到手机机房的全貌,如果录像的话可以一直监控机房工作人员的一举一动,甚至有些手机摆放的位置比较恰当的话,可以拍到记录密码的便签贴。 我们还可以开启手机录音功能,实现长时间的远程窃听等……
\
 
  另外,我们可以通过手机的定位功能找到受控机器所在的位置。
\
 
  除此之外,当我们有了大量手机集群以后可以做些扫描、挖矿的事情。我们也可以将手机的ARM处理器挖矿,同时我们还可以将手机变为我们分布式扫描器的扫描集群。
 
  0x03 延伸
 
  权限滥用漏洞除了在android真机调试场景以外还有很多其他发生场景。在物联网领域应用尤为广泛。例如:某智能电视可以允许通过网络远程调试、 某大型旋转机监控系统可以被远程操纵控制、某高速公路摄像头可被控制拍照、某运营商设备可被控制拨打电话等等。这种漏洞小则可以危害公民生活起居(控制微波炉、控制冰箱、智能电视等),大则可以危害国家安全(控制工控系统生产作业、控制电力设施、控制交通运输等),其危害不容小觑。
 
  0x04 防御
 

  面对权限滥用漏洞的攻击,任何疏忽大意都可能为信息系统带来灾难性的破坏,传统的防御体系已无法抵御权限滥用攻击导致的入侵,因此需要制定更严格的物理设备管理策略,此类问题绝大部分是由于开放给外部使用的功能限制不严格而导致的,因此笔者建议对此类问题的防御,可从以下几个方面简单入手:
第三十八届CIO班招生
国际CIO认证培训
首席数据官(CDO)认证培训

责编:pingxiaoli

免责声明:本网站(http://www.ciotimes.com/)内容主要来自原创、合作媒体供稿和第三方投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
本网站刊载的所有内容(包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等)版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时,请及时通知本站,予以删除。