详细内容或原文请订阅后点击阅览
烧烤带来惊喜:研究人员发现了 Traeger 智能烧烤炉的多个漏洞
牛排爱好者有可能成为网络美食的受害者。
来源:安全实验室新闻频道烧烤带来惊喜:研究人员发现了 Traeger 智能烧烤炉的多个漏洞
牛排爱好者有可能成为网络美食的受害者。
Bishop Fox 的专家发现了 Traeger Grill D2 智能烧烤炉 Wi-Fi 控制器中的多个漏洞,该控制器允许您使用移动设备远程控制肉类和蔬菜的烹饪。检测到的漏洞可能对用户安全构成严重威胁。
已发现多个漏洞 无线网络研究人员指出了以下已发现的问题:
- 对授权过程控制不够; 机密信息的披露; 未加密的固件; 打开端口进行调试。
负责注册烤架的 API 中的授权控制不足,使得攻击者能够控制其他用户的烤架。攻击者可以获得烤架 ID(48 位代码),并使用它通过 API 注册烤架,从而允许敏感操作,例如在烹饪时更改温度。
Traeger 已发布固件更新来解决此问题。连接到互联网的烤架将自动接收最新更新,因此用户可以放心他们的设备是安全的。
还发现,移动应用程序使用的GraphQL API包含ListGrills操作,该操作向攻击者泄露了所有注册用户烧烤的信息。尽管访问 API 需要 API 密钥和 AWS Cognito 令牌,但这会带来很大的安全风险。为了响应此漏洞的报告,Traeger 已完全禁用 ListGrills 操作。
物联网