安全研究員報告,流行的路由器發(fā)行版 OpenWRT容易受到遠程代碼執(zhí)行攻擊,原因是它的更新是通過未加密渠道傳輸?shù)?,其?shù)字簽名驗證很容易繞過。OpenWRT 被廣泛用于路由器和其它嵌入式系統(tǒng)。
安全研究員 Guido Vranken 發(fā)現(xiàn)它的更新和安裝文件是通過 HTTP 連接傳輸?shù)模菀资艿街虚g人攻擊,攻擊者可以用惡意更新文件去替換合法更新文件。
除此之外,它的數(shù)字簽名檢查和驗證也很容易繞過,驗證函數(shù) checksum_hex2bin 存在 bug,在輸入字符串前加空格可繞過檢查,該 bug 是在 2017 年 2 月引入的。
組合這兩個弱點攻擊者可以向設備發(fā)送惡意更新并自動安裝。OpenWRT 維護者已經(jīng)釋出了更新部分修復了問題。
聲明:本文內容及配圖由入駐作者撰寫或者入駐合作網(wǎng)站授權轉載。文章觀點僅代表作者本人,不代表電子發(fā)燒友網(wǎng)立場。文章及其配圖僅供工程師學習之用,如有內容侵權或者其他違規(guī)問題,請聯(lián)系本站處理。
舉報投訴
相關推薦
的協(xié)議如HTTPS來保護數(shù)據(jù)免受中間人攻擊,并確保所有數(shù)據(jù)傳輸都通過安全的網(wǎng)絡節(jié)點進行。 2、合規(guī)性:了解并遵守目標市場的法律法規(guī)是確保合規(guī)性的關鍵。這包括數(shù)據(jù)保護法規(guī)、消費者權益法、
發(fā)表于 09-25 13:45
?196次閱讀
一、AES加密功能 在物聯(lián)網(wǎng)行業(yè)中的應用 AES加密功能在物聯(lián)網(wǎng)行業(yè)中有著廣泛的應用。隨著物聯(lián)網(wǎng)技術的不斷發(fā)展,越來越多的設備連接到互聯(lián)網(wǎng)上,這也增加了數(shù)據(jù)泄露和網(wǎng)絡攻擊的風險。為了保護物聯(lián)網(wǎng)設備
發(fā)表于 09-11 14:50
?365次閱讀
TSL/SSL加密傳輸是一種通過在網(wǎng)絡通信中建立加密通道來保護數(shù)據(jù)安全性與完整性的重要技術,而我們鋇錸空調協(xié)議網(wǎng)關BL120AC所支持的數(shù)據(jù)加密傳輸也是TSL/SSL。 TSL/SSL
發(fā)表于 08-05 11:34
?338次閱讀
19:34:38)
SDK版本:2.1.0(116b762)
編譯時間:Sep 20, 2017 20:32:34
OK
此版本是否受 KRACK(WPA2 攻擊)影響?
發(fā)表于 07-16 06:07
使用
esp_now_add_peer(MAC1, ESP_NOW_ROLE_COMBO, CHANNEL, key, sizeof(key));
現(xiàn)在的問題是,我仍然可以接收未加密的消息,例如廣播消息。而且我無法發(fā)現(xiàn)它們實際上是未加密的!因此,任何
發(fā)表于 07-09 07:14
在當前的物聯(lián)網(wǎng)時代,數(shù)據(jù)的安全傳輸顯得尤為重要。DTU作為一款通過無線通信網(wǎng)絡進行傳送的無線終端設備,其在氣象、水文水利、地質等行業(yè)的應用中,對于數(shù)據(jù)傳輸的安全性有著極高的要求。本文將探討如何
發(fā)表于 07-04 14:53
?349次閱讀
ESP32對Flash加密后能否使用OTA進行后續(xù)的維護更新
發(fā)表于 06-07 08:21
128 位組成(原因是我們每次加密的數(shù)據(jù)是 128 位)。對于每一個子幀,幀頭為起始的 16 位數(shù)據(jù),具有和其他 112 位數(shù)據(jù)不一樣 的脈寬長度,便于后續(xù)的幀解析。
通過我們的設計,即使傳輸
發(fā)表于 04-26 17:18
我想通過 BLE 將 UART 格式的數(shù)據(jù)從 PSoC-4 BLE 傳輸到 PC,而不必在 PC 端使用 Cypress BLE 加密狗。 我想知道這是否可能。
注意:我已經(jīng) 在 github 中試
發(fā)表于 01-30 07:13
OpenWrt開發(fā)人員正在與Banana Pi合作開發(fā)OpenWrt One/AP-24.XY路由器板。OpenWrt 是一個輕量級嵌入式 Linux 操作系統(tǒng),支持近 1,800 個路由器和其他設備。然而,這將是第一塊由
發(fā)表于 01-15 18:02
?763次閱讀
方案使用了MCU的以太網(wǎng)MAC部分,以及CPLD部分,幫助客戶實現(xiàn)了圖像傳輸的實時加密。在以太網(wǎng)圖像傳輸上的應用,CPLD截取MAC傳輸的數(shù)據(jù),加上了自定義的CRC值,再
發(fā)表于 01-15 08:57
的制造和分銷。
截至OpenWrt 23.05 版本,近 1,800 個路由器和其他設備正式受到輕量級嵌入式 Linux 操作系統(tǒng)的支持,還有更多設備聲稱通過操作系統(tǒng)的分支運行 OpenWrt。但這些
發(fā)表于 01-13 09:56
值得關注的是,編號為 CVE-2024-20674 的 Windows Kerberos 漏洞 CVSS 評分為 9,可謂當之無愧的“年度最危險漏洞”。據(jù)悉,此漏洞可使黑客發(fā)動中間人攻擊,通過假冒 Kerberos 認證服務器欺
發(fā)表于 01-12 14:43
?839次閱讀
擁有對企業(yè)數(shù)據(jù)訪問權限的易受攻擊的應用程序是此類威脅的潛在渠道,并且在與受限制的商業(yè)環(huán)境進行交互時很少受到監(jiān)控。大量的應用程序存儲在App Store中,其中很大一部分是未經(jīng)緩解的移動應用程序
發(fā)表于 01-08 15:09
?315次閱讀
關于ADC的疑問:
1、ADC的輸入阻抗能達到多大,輸入阻抗很大是否更容易受干擾?
2、從DATESHEET的技術指標如何獲得輸入阻抗大小?
3、一般,ADC的輸入能承受多大的負電壓信號,輸入伏電壓信號為什么會有輸出?
發(fā)表于 12-20 07:25
評論