OpenWRT容易受中間人攻擊 更新通過未加密渠道傳輸
安全研究員報(bào)告,流行的路由器發(fā)行版 OpenWRT容易受到遠(yuǎn)程代碼執(zhí)行攻擊,原因是它的更新是通過未加密渠道傳輸?shù)模鋽?shù)字簽名驗(yàn)證很容易繞過。OpenWRT 被廣泛用于路由器和其它嵌入式系統(tǒng)。
安全研究員 Guido Vranken 發(fā)現(xiàn)它的更新和安裝文件是通過 HTTP 連接傳輸?shù)模菀资艿街虚g人攻擊,攻擊者可以用惡意更新文件去替換合法更新文件。
除此之外,它的數(shù)字簽名檢查和驗(yàn)證也很容易繞過,驗(yàn)證函數(shù) checksum_hex2bin 存在 bug,在輸入字符串前加空格可繞過檢查,該 bug 是在 2017 年 2 月引入的。
組合這兩個弱點(diǎn)攻擊者可以向設(shè)備發(fā)送惡意更新并自動安裝。OpenWRT 維護(hù)者已經(jīng)釋出了更新部分修復(fù)了問題。
聲明:本文內(nèi)容及配圖由入駐作者撰寫或者入駐合作網(wǎng)站授權(quán)轉(zhuǎn)載。文章觀點(diǎn)僅代表作者本人,不代表電子發(fā)燒友網(wǎng)立場。文章及其配圖僅供工程師學(xué)習(xí)之用,如有內(nèi)容侵權(quán)或者其他違規(guī)問題,請聯(lián)系本站處理。
舉報(bào)投訴
-
OpenWrt
+關(guān)注
關(guān)注
10文章
127瀏覽量
39267
發(fā)布評論請先 登錄
相關(guān)推薦
在跨境電商中,如何確保網(wǎng)絡(luò)節(jié)點(diǎn)的安全性和合規(guī)性?
的協(xié)議如HTTPS來保護(hù)數(shù)據(jù)免受中間人攻擊,并確保所有數(shù)據(jù)傳輸都通過安全的網(wǎng)絡(luò)節(jié)點(diǎn)進(jìn)行。 2、合規(guī)性:了解并遵守目標(biāo)市場的法律法規(guī)是確保合規(guī)性的關(guān)鍵。這包括數(shù)據(jù)保護(hù)法規(guī)、消費(fèi)者權(quán)益法、
開源物聯(lián)網(wǎng)技術(shù)--AES加密功能技術(shù)分享
一、AES加密功能 在物聯(lián)網(wǎng)行業(yè)中的應(yīng)用 AES加密功能在物聯(lián)網(wǎng)行業(yè)中有著廣泛的應(yīng)用。隨著物聯(lián)網(wǎng)技術(shù)的不斷發(fā)展,越來越多的設(shè)備連接到互聯(lián)網(wǎng)上,這也增加了數(shù)據(jù)泄露和網(wǎng)絡(luò)攻擊的風(fēng)險。為了保護(hù)物聯(lián)網(wǎng)設(shè)備
空調(diào)協(xié)議轉(zhuǎn)Modbus協(xié)議網(wǎng)關(guān)支持TSL/SSL加密傳輸
TSL/SSL加密傳輸是一種通過在網(wǎng)絡(luò)通信中建立加密通道來保護(hù)數(shù)據(jù)安全性與完整性的重要技術(shù),而我們鋇錸空調(diào)協(xié)議網(wǎng)關(guān)BL120AC所支持的數(shù)據(jù)加密傳輸也是TSL/SSL。 TSL/SSL
ESP8266 AT命令固件是否受KRACK影響?
19:34:38)
SDK版本:2.1.0(116b762)
編譯時間:Sep 20, 2017 20:32:34
OK
此版本是否受 KRACK(WPA2 攻擊)影響?
發(fā)表于 07-16 06:07
請問esp-now如何確定消息是否加密?
使用
esp_now_add_peer(MAC1, ESP_NOW_ROLE_COMBO, CHANNEL, key, sizeof(key));
現(xiàn)在的問題是,我仍然可以接收未加密的消息,例如廣播消息。而且我無法發(fā)現(xiàn)它們實(shí)際上是未加密的!因此,任何
發(fā)表于 07-09 07:14
DTU如何運(yùn)用VPN加密技術(shù)提升數(shù)據(jù)傳輸安全?
在當(dāng)前的物聯(lián)網(wǎng)時代,數(shù)據(jù)的安全傳輸顯得尤為重要。DTU作為一款通過無線通信網(wǎng)絡(luò)進(jìn)行傳送的無線終端設(shè)備,其在氣象、水文水利、地質(zhì)等行業(yè)的應(yīng)用中,對于數(shù)據(jù)傳輸的安全性有著極高的要求。本文將探討如何
ESP32對Flash加密后能否使用OTA進(jìn)行后續(xù)的維護(hù)更新?
ESP32對Flash加密后能否使用OTA進(jìn)行后續(xù)的維護(hù)更新
發(fā)表于 06-07 08:21
基于 FPGA 的光纖混沌加密系統(tǒng)
128 位組成(原因是我們每次加密的數(shù)據(jù)是 128 位)。對于每一個子幀,幀頭為起始的 16 位數(shù)據(jù),具有和其他 112 位數(shù)據(jù)不一樣 的脈寬長度,便于后續(xù)的幀解析。
通過我們的設(shè)計(jì),即使傳輸
發(fā)表于 04-26 17:18
可以通過BLE將UART格式的數(shù)據(jù)從PSoC-4 BLE傳輸到PC,而不必在PC端使用Cypress BLE加密狗嗎?
我想通過 BLE 將 UART 格式的數(shù)據(jù)從 PSoC-4 BLE 傳輸到 PC,而不必在 PC 端使用 Cypress BLE 加密狗。 我想知道這是否可能。
注意:我已經(jīng) 在 github 中試
發(fā)表于 01-30 07:13
即將推出的 OpenWrt One/AP-24.XY:OpenWrt官方 和 Banana Pi官方合作路由器板
OpenWrt開發(fā)人員正在與Banana Pi合作開發(fā)OpenWrt One/AP-24.XY路由器板。OpenWrt 是一個輕量級嵌入式 Linux 操作系統(tǒng),支持近 1,800 個路由器和其他設(shè)備。然而,這將是第一塊由
應(yīng)用方案:實(shí)時數(shù)據(jù)加密
方案使用了MCU的以太網(wǎng)MAC部分,以及CPLD部分,幫助客戶實(shí)現(xiàn)了圖像傳輸的實(shí)時加密。在以太網(wǎng)圖像傳輸上的應(yīng)用,CPLD截取MAC傳輸的數(shù)據(jù),加上了自定義的CRC值,再
發(fā)表于 01-15 08:57
即將推出的 OpenWrt One/AP-24.XY:OpenWrt 和 Banana Pi 合作路由器板
的制造和分銷。
截至OpenWrt 23.05 版本,近 1,800 個路由器和其他設(shè)備正式受到輕量級嵌入式 Linux 操作系統(tǒng)的支持,還有更多設(shè)備聲稱通過操作系統(tǒng)的分支運(yùn)行 OpenWrt。但這些
發(fā)表于 01-13 09:56
微軟2024年首個補(bǔ)丁周二修復(fù)49項(xiàng)安全漏洞,其中2項(xiàng)為嚴(yán)重級別
值得關(guān)注的是,編號為 CVE-2024-20674 的 Windows Kerberos 漏洞 CVSS 評分為 9,可謂當(dāng)之無愧的“年度最危險漏洞”。據(jù)悉,此漏洞可使黑客發(fā)動中間人攻擊,通過假冒 Kerberos 認(rèn)證服務(wù)器欺
使用App盾方案加固移動應(yīng)用
擁有對企業(yè)數(shù)據(jù)訪問權(quán)限的易受攻擊的應(yīng)用程序是此類威脅的潛在渠道,并且在與受限制的商業(yè)環(huán)境進(jìn)行交互時很少受到監(jiān)控。大量的應(yīng)用程序存儲在App Store中,其中很大一部分是未經(jīng)緩解的移動應(yīng)用程序
ADC的輸入阻抗能達(dá)到多大,輸入阻抗很大是否更容易受干擾?
關(guān)于ADC的疑問:
1、ADC的輸入阻抗能達(dá)到多大,輸入阻抗很大是否更容易受干擾?
2、從DATESHEET的技術(shù)指標(biāo)如何獲得輸入阻抗大小?
3、一般,ADC的輸入能承受多大的負(fù)電壓信號,輸入伏電壓信號為什么會有輸出?
發(fā)表于 12-20 07:25
工商網(wǎng)監(jiān)
評論