原创<br> 研究人员发现Zipato智能网关漏洞,可被利用打开智能门锁( 二 )
安全研究人员Dardaman和Wheeler几个月之前开始研究克罗地亚Zipato公司开发的一个智能网关ZipaMicro,在这三个安全漏洞被修复之后他们公布了研究成果。
研究人员发现,他们可以从设备上的存储卡中提取智能网关中的私有SSH密钥,用于获取“root”(具有最高访问权限的用户账户),任何拥有密钥的人在不需要密码情况下就能访问设备。
在随后的研究中,他们还发现私有SSH密钥被硬编码在每个销售给客户的网关中,这使得每个安装了这样网关的家庭都面临风险。
研究人员使用这个SSH私钥从设备中下载了一个文件,其中包含了用于访问这个网关的加密密码。他们发现智能网关使用了一个叫做“pass-the-hash”的认证系统,这个认证系统不需要知道用户的明文密码,只需要知道SSH私钥就可以欺骗智能网关,去打开智能网关控制的智能门锁。
攻击者只要几行代码,创建一个脚本,就可以发送一个命令让智能门锁打开或者关闭。
推荐阅读
- falcom|和平精英:被堵在地下怎么办?玩家一秒破解,还发现了奇葩场景
- 原神|扒遍了《原神》的五张地图,我发现它悄悄改了自己的开放世界设计
- 精灵宝可梦|《宝可梦BDSP》偷跑,玩家发现游戏存在大量bug
- edg战队|EDG夺冠之后,这些布局才被发现
- 逆水寒|妹子发现男友和异性打游戏,逼他拔520根腿毛,晒图后网友都乐了
- 张卫健|“猜猜我在张卫健版本的西游记里发现了谁?”
- 索尼|原神:刚拿到二命托马,实测后发现策划的用心“险恶”,徒有其表
- 元气骑士|《元气骑士》暗削狂战,被少数玩家发现,官方解释:老BUG清算
- 明日方舟|明日方舟SP临光立绘有问题?玩家发现有腿毛,画师的奇怪XP?
- 巴德|咖啡甜心皮肤背景故事更新:弗拉基米尔发现了长生不老药——茶