0717-7821348
新闻中心

爱彩人彩票走势图

您现在的位置: 首页 > 新闻中心 > 爱彩人彩票走势图
亚马逊Echos和Kindle存安全漏洞,请及时更新补丁
2019-12-19 04:51:47

近年来,运用一种盛行的家庭智能设备,让数亿个家庭变得"更智能"并支撑衔接到互联网。虽然供货商在考虑安全性的基础上开发了这些设备,ESET智能家居研讨团队发现,即使是很盛行的Amazon Echo(Amazon Alexa的宁晋天气原始硬件)也受 KRACK缝隙的要挟,并且广泛运用的A亚马逊Echos和Kindle存安全漏洞,请及时更新补丁mazon Kindle电子阅读器也存在相同的缝隙。

ESET研讨人员在一年前发现了Echo和Kindle中WI-F亚马逊Echos和Kindle存安全漏洞,请及时更新补丁I无线通讯模块存在KRACK缝隙,能够被人进犯运用。在陈述给亚马逊几个月后,亚马逊推出了对这些设备的修正程序。日前ESET又发布一份有关其亚马逊研讨和调查结果的陈述。陈述中指出假如你具有第一代Amazon Echo或第八代Amazon Kindle的设备中还有数百万级人还存在该缝隙的影响。假如你的刚好具有这些设备,请及时更新。

未打补丁的设备能够能会遭到KRACK进犯,监控你的Wi-Fi传输,盗取你的暗码,禁用你的路由器。

Echo设备和Kindle默许都会自动更新,可是假如更改正默许设置,则或许还没有更新。

关于KRACK

在2017年两位比利时研讨人员Mathy Vanhoef和Frank Piessens做出了令业界震动的陈述。他们发现WI-FI WPA2规范存在严峻缺点,该协议是其时广泛运用的Wi-Fi网络安全协议。在他们的论文中KR亚马逊Echos和Kindle存安全漏洞,请及时更新补丁ACK进犯首要针对WPA2四次握手承认机制:用于承认客户端和访问点都具有正确的凭证,以及洽谈用于加密流量的密钥。

Vanhoef的团队发现,进犯者能够经过制作和重放加密握手音讯来拐骗受害设备从头初始化当时会话中运用的成对密钥。经过运用此缺点,进犯者能够逐步重建加密XOR流,然后嗅探受害者的网络流量。

该缝隙由CVE-2017-13077~CVE-2017-13087等一系列的缝隙构成:

这些缝隙十分严峻,由于它们使进犯者能够:

重播旧数据包以履行DoS进犯,损坏网络通信或重播进犯

解密受害者传输的任何数据或信息

取决于网络装备:能够假造数据包,使设备丢掉数据包乃至注入新数据包

阻拦灵敏信息,比方暗码或会话cookie

有关该缝隙的具体信息能够查找"KRACK "词条以及Vanhoef他们的论文(ccs2017.pdf)。

Alexa怎么了?

依据ESET的陈述,在KRACK发现两年后的今日,许多启用Wi-Fi的设备依然简单受KRACK进犯,这其中就包含多个Amazon设备。亚马逊Amazon Echos和Amazon Kindle都具有数千万计的用户,其危险影响深远。

ESET的研讨经过脚本测试了第一代Amazon Echo(Amazon Alexa的原始硬件)和第八代Amazon Kindle。发现第一代Echo和第八代Amazon Kindle设备简单遭到两个KRACK缝隙的进犯,能够在四次握手中仿制成对加密密钥(PTK-TK)的从头安装(CVE-2017-13077),和在四次握手中仿制组密钥(GTK)的从头安装(CVE-2017-13078)。下面是对第一代Amazon Echo从头安装加密密钥(CVE-2017-13077)的演示截图:

亚马逊家庭助理设备还亚马逊Echos和Kindle存安全漏洞,请及时更新补丁简单受另一个与KRACK无关的网络缝隙的影响:播送重放进犯,一种网络进犯,能够用其诈骗性地重复有用的播送传输,诱导方针设备承受。进犯者能够乱用这个初级进犯来主张拒绝服务(DoS)进犯或搜集数据包以用于将来的暗码剖析或暴力进犯。

更新补丁

为了保证的Echo设备晋级到最新版别,请在Alexa移动应用程序中挑选"设备",挑选每个Echo,然后挑选"关于"。截止当时,第亚马逊Echos和Kindle存安全漏洞,请及时更新补丁一代Echos的最新软件版别为641571120。假如还不是该最新版别,请保证Echo的互联网衔接正常,然后从头启动或点击它的"查看更新"。

关于差异Kindle版别,为此能够上亚马逊官网阅读关于不同Kindle版别的具体文档。

第八代Kindle于2016年7月发布,具有触摸屏和可调屏幕灯,但正面没有物理按钮。

第八代Kindle Oasis于2016年5月发布,正面的确有物理按钮。

两种类型最新软件版别均为5.12.2。假如不是该最新版别,请从亚马逊kindle官方下载晋级包晋级。

定论

ESET智能家居研讨团队发现,Amazon Echo 1st和Amazon Kindle 8th一代设备简单遭到各种KRACK进犯。针对亚马逊设备(或许还有其他设备)的进犯也不太或许引起严峻后果,经过网络发送的信息的安全性。这要归功于灵敏数据的大部分遭到了标WPA/WPA2加密(即运用TLS加密的HTTPS)之上的其他安全措施的维护。上述缝隙仅影响WPA/WPA2的安全性。假如成功,其作用将类似于运用不受维护的Wi-Fi网络的受害者。

为了安全主张以上设备的用户及时更新安全补丁。