国产人妻精品区一区二区,国产农村妇女毛片精品久久,JAPANESE日本丰满少妇,日本公妇理伦a片,射精专区一区二区朝鲜

近年來，智能家居技術(shu)和產(chan)業鏈快速發(fa)展(zhan)，應用場(chang)景(jing)持續豐富，給家庭生(sheng)(sheng)活帶(dai)來(lai)極大(da)地便利性(xing)和舒(shu)適(shi)性(xing)。隨之而來(lai)的有關(guan)(guan)智(zhi)(zhi)能(neng)(neng)家居(ju)(ju)設(she)備(bei)的安(an)全性(xing)也逐漸受(shou)到消(xiao)費(fei)者(zhe)(zhe)的關(guan)(guan)注。一(yi)方(fang)面，智(zhi)(zhi)能(neng)(neng)家居(ju)(ju)設(she)備(bei)從傳統的接觸式(shi)操控(kong)變為(wei)遠程(cheng)網(wang)絡操控(kong)后(hou)，網(wang)絡安(an)全威脅提升。攻(gong)擊(ji)者(zhe)(zhe)可(ke)以通過(guo)網(wang)絡遠程(cheng)攻(gong)擊(ji)，繼而入侵和操控(kong)智(zhi)(zhi)能(neng)(neng)家居(ju)(ju)設(she)備(bei)，不(bu)僅帶(dai)給消(xiao)費(fei)者(zhe)(zhe)使用困(kun)擾(rao)，甚至可(ke)能(neng)(neng)帶(dai)來(lai)生(sheng)(sheng)命財產(chan)安(an)全風險。另(ling)一(yi)方(fang)面，智(zhi)(zhi)能(neng)(neng)家居(ju)(ju)設(she)備(bei)與云端、其它智(zhi)(zhi)能(neng)(neng)設(she)備(bei)、消(xiao)費(fei)者(zhe)(zhe)之間都(dou)在頻繁(fan)交互，采集并儲(chu)存(cun)了大(da)量消(xiao)費(fei)者(zhe)(zhe)信(xin)息，信(xin)息泄(xie)露風險提升。這(zhe)些信(xin)息不(bu)乏(fa)一(yi)些涉及消(xiao)費(fei)者(zhe)(zhe)的重要隱私，容易(yi)成為(wei)攻(gong)擊(ji)者(zhe)(zhe)竊(qie)取(qu)的目標。

2021年11月至2022年2月，上(shang)海市消保(bao)委聯合第三方專業機(ji)構(gou)開(kai)展了智能(neng)家居設備安(an)全性能(neng)測試。我(wo)們在各(ge)主流(liu)電商平(ping)臺上(shang)選取了6款搜索排名(ming)靠前的智能(neng)門(men)鈴和(he)門(men)禁產品，并對以下(xia)功(gong)能(neng)進行測試。

測試結果顯示：

主要安全漏洞如下：

一、攻擊者可以通過抓包軟件繞過認證，獲取服務端或客戶端的大量信息。消費者個人信息遭到泄露。

如(ru)我們發現D品牌(pai)(pai)、F品牌(pai)(pai)等存(cun)(cun)在(zai)認(ren)證(zheng)繞過漏洞，攻擊者可以(yi)將提(ti)交到(dao)服務端的(de)驗證(zheng)數(shu)據包(bao)(bao)進(jin)行(xing)抓(zhua)取，然后對其暴力破解，就(jiu)能(neng)繞開(kai)認(ren)證(zheng)并查看(kan)到(dao)服務端存(cun)(cun)儲的(de)大(da)量用戶信(xin)(xin)息(xi)，也可以(yi)在(zai)客戶端進(jin)行(xing)抓(zhua)包(bao)(bao)并修(xiu)改回應包(bao)(bao)，看(kan)到(dao)用戶個人信(xin)(xin)息(xi)。

D品牌漏洞測試詳情(qing)：打開(kai)抓(zhua)包軟件，即可看(kan)到(dao)用戶手機號，姓(xing)名，年(nian)齡(ling)，公司住(zhu)址等信息。

F品牌漏洞(dong)測試(shi)詳情(qing)：登(deng)錄小程序(xu)，抓取設(she)備(bei)界面數(shu)(shu)據包，發現有(you)(you)一(yi)個(ge)未加密顯示手(shou)(shou)機號(hao)的數(shu)(shu)據包。通過修改手(shou)(shou)機號(hao)，可(ke)越權查看(kan)他人所擁有(you)(you)的設(she)備(bei)。

二、攻擊者可以通過簡單粗暴的“抓包”加暴力破解弱密碼，利用漏洞組合獲取用戶的賬號和密碼，登錄后獲得他人攝像頭、麥克風等權限，可以自由調取錄像，甚至聽取房間家庭成員間的交談。消費者的隱私難以保障。

如我們測試(shi)B品牌時，攻擊者先(xian)通(tong)過“抓包”，挖掘(jue)出用戶(hu)手(shou)機(ji)號(hao)碼。如果該用戶(hu)密碼設置過于(yu)簡單(dan)(dan)，比如默(mo)認(ren)密碼或是簡單(dan)(dan)的(de)數字密碼，攻擊者繼而暴力破解，對(dui)密碼逐個推算，反復試(shi)錯(cuo)，得到(dao)相應的(de)密碼，登錄后竊取用戶(hu)隱(yin)私(si)。

B品牌漏洞測試詳情：進入平臺社區交流界面，可(ke)(ke)看到(dao)經(jing)過(guo)*號處理過(guo)的(de)手(shou)機號，抓包查(cha)看返回包，即可(ke)(ke)得到(dao)該用戶手(shou)機號碼。

再暴(bao)力破解(jie)獲得弱密碼，成(cheng)功登陸，并(bing)可以查看相關(guan)重(zhong)要信息。

三、攻擊者可以利用應用程序傳參驗證過濾不嚴，在后臺不知情的條件下實現非法授權和操作，導致攻擊者構造的數據庫代碼被后臺執行。攻擊者可以未經授權訪問數據庫，結合其他漏洞實現遠程開電子門鎖等功能，消費者居家安全面臨風險。

如我們(men)發現D品牌設備的管理后(hou)臺存在3處該漏洞。同時，該設備的開(kai)(kai)門(men)(men)小(xiao)程(cheng)序也存在缺陷(xian)，簡單重復此開(kai)(kai)門(men)(men)包，攻擊者就能實現遠程(cheng)任意(yi)開(kai)(kai)門(men)(men)。

D品牌漏洞測試詳情：

第(di)一(yi)處：通過ascii來爆破數據庫用戶的第(di)一(yi)個字符。

漏洞參數是login_account。

第二處：使用user可直接獲取數據庫(ku)用戶名。

第三處(chu)：嘗試使用相關工具可直接注入出目標數據庫的(de)所有消息。

此外，這些(xie)設(she)備還存(cun)在(zai)中(zhong)間人攻擊、存(cun)儲(chu)型XSS、文件上(shang)傳等漏洞(dong)，而且不少(shao)產(chan)品屬于(yu)相同設(she)備代(dai)工(gong)生產(chan)，同質化情況較為嚴重(zhong)。

雖然本次模擬黑客攻(gong)擊的(de)測試(shi)針對(dui)的(de)是智(zhi)能門鈴和智(zhi)能門禁類產品，但智(zhi)能化(hua)家電(dian)家居(ju)設備在底(di)層技術、通用(yong)硬件(jian)、數(shu)據后臺(tai)等方面(mian)有高度的(de)類同性。專家組判斷，市場上相當比(bi)例(li)的(de)智(zhi)能家居(ju)產品信息安全(quan)水平普遍較低，對(dui)于消費者隱(yin)私存著較大風(feng)險。

下一步，上海市(shi)消保委將持續關注智能(neng)(neng)家(jia)居安(an)(an)(an)全(quan)性(xing)能(neng)(neng)，并(bing)建議(yi)：一是消費(fei)者盡(jin)量選購(gou)大(da)品牌(pai)智能(neng)(neng)家(jia)居產品，盡(jin)量選購(gou)具有(you)輸(shu)入(ru)錯誤報警(jing)和防破(po)壞報警(jing)功(gong)能(neng)(neng)的(de)產品，日常使用(yong)過程中提高數字密碼安(an)(an)(an)全(quan)系(xi)數，并(bing)樹立網絡安(an)(an)(an)全(quan)防范意識(shi)，及時(shi)更新系(xi)統、升(sheng)級(ji)固(gu)件(jian)；二是智能(neng)(neng)家(jia)居廠商要不斷(duan)提升(sheng)終端設備安(an)(an)(an)全(quan)性(xing)能(neng)(neng)等級(ji)，同時(shi)加(jia)強云端數據安(an)(an)(an)全(quan)管理，把重心從營銷(xiao)轉(zhuan)移到(dao)技術(shu)研發上；三是相關部門(men)要盡(jin)快開展(zhan)智能(neng)(neng)家(jia)居產品安(an)(an)(an)全(quan)性(xing)能(neng)(neng)調研，排摸相關風(feng)險(xian)，針對技術(shu)、系(xi)統漏洞(dong)帶來的(de)危害和風(feng)險(xian)出(chu)臺相關的(de)安(an)(an)(an)全(quan)標準和規范。