一個簡單的漏洞暴露了數千個智慧安全警報系統的存取許可權
背景
美國電力和電子巨頭伊頓已修復了一個安全漏洞,使得一名安全研究人員能夠遠端存取數千個智慧安全警報系統。伊頓的 SecureConnect 是一個基於雲的系統,允許客戶透過手機應用程式遠端存取、管理、武裝和解除武裝他們的安全警報系統。漏洞詳情
安全研究人員 Vangelis Stykas 表示這個漏洞允許任何人註冊一個新使用者,並將該帳戶分配給任何其他使用者組,包括一個“root”組,該組可以存取存取到伊頓雲的所有智慧警報系統。這個漏洞被稱為不安全的直接物件引用(IDOR),它是一類安全漏洞,因為伺服器上的存取控制薄弱或缺乏而允許對檔案、資料或使用者帳戶進行未檢查的存取。 Stykas 表示使用中間人工具(如 Burp Suite)可以輕易利用這個漏洞,只需捕獲新使用者的組號,然後將其與 root 組的號碼進行對換,而 root 組的號碼只是“1”。Stykas 表示將使用者新增到 root 組“可以存取一切”,包括註冊使用者的姓名和電子郵件位址以及每個已存取的安全警報系統的位置。Stykas 表示這個存取許可權可能允許潛在的攻擊者遠端控制存取到伊頓雲的安全警報系統,但他沒有嘗試這樣做。伊頓的回應
在一份發布在其網站上的安全通知中,伊頓證實這個漏洞是在其組存取授權邏輯中發現的。伊頓的發言人 Jonathan Hart 表示這個漏洞在五月份已被修復。Hart 拒絕透露伊頓擁有多少智慧警報的客戶,但 Stykas 表示伊頓存取的智慧警報系統數量在幾萬臺以上。伊頓拒絕透露這個漏洞是否允許遠端控制存取的安全警報系統。伊頓表示這個漏洞“被證實是一個單一事件”,但未說明該結論是如何得出的或者該公司是否具有技術手段(如記錄系統)來確保這個漏洞是否被提前發現或利用。評論和建議
這次漏洞事件再次凸顯了智慧安全警報系統在保護使用者隱私和安全方面面臨的挑戰。對於像伊頓這樣的大型企業來說安全性應該是首要考慮的因素之一,並且漏洞的修復應該是快速和有效的。 對於使用者來說這次事件提供了一個重要的教訓,即不要過分依賴雲服務提供商的安全性。在使用智慧安全警報系統或其他智慧家居裝置時,使用者應該時刻關注相關漏洞和安全更新,並及時採取相應的措施。 此外企業和政府應該加固對智慧安全警報系統等物聯網裝置的監管和監控。加固相關檢測與漏洞修復的能力,制定更嚴格的安全標準和規範,共同保護使用者的隱私和安全。結論
伊頓的漏洞事件提醒我們,即使是大型企業也可能存在嚴重的安全漏洞。保護使用者的隱私和安全是一個持續不斷的挑戰,需要企業、政府和使用者共同努力。我們應該重視物聯網裝置的安全性,並採取相應的保護措施,以確保我們的資料和個人訊息不會落入錯誤的手中。Cybersecurity-漏洞,智慧安全警報系統,存取問題
