网站首页 收藏本站 联系我们
  • 首页
  • 关于望驰
    • 关于我们
    • 技术优势
    • 企业文化
  • Parasoft
    • Virtualize
    • Jtest™
    • Insure++™
    • SOAtest™
    • C++test™
    • dotTest™
  • Cybellum
    • Cybellum
  • beSTORM
    • beSTORM
  • Synopsys
    • Seeker
    • AppCheck
    • Coverity
  • 主营产品
    • Fortify
    • Security Fortify
    • CheckMarx
    • Deepkeep
  • Micro Focus
    • UFT
    • ALM Octane
    • WebInspect
    • LoadRunner
    • UFT Pro
    • Mobile Center
    • Service Virtualization
    • Network Virtualization
  • 测试仪器
    • CxCodebashing
    • 手持射频产品
    • 手持式分析仪
  • 项目案例
    • 汽车解决方案
    • 金融解决方案
    • 工业控制系统
    • 医疗
    • 航空航天
    • 安全实验室
  • 行业新闻
    • 企业新闻
    • 行业动态
  • 联系我们
行业新闻
行业新闻
行业动态
  • 热门资讯
  • • Checkmarx:安卓又一严重漏洞!威胁着10亿人的..
  • • Checkmarx测评|物联网设备正在泄露你多少隐私..
  • • SlavaBronfman的访谈–Cybellum
  • • MISRAC++和AUTOSARC++的合并:软件开发行业专..
  • • 面向服务架构(SOA)的汽车软件分析和设计..
  • • 世界智能网联汽车大会
行业动态首页 -> 行业新闻 -> 行业动态 -> 正文
Checkmarx测评|物联网设备正在泄露你多少隐私?
2024-09-10  |  浏览:2438次
摘要:Checkmarx测评 | 物联网设备正在泄露你多少隐私?

2019年,互联网正在向物联网升级,从路由器、语音音箱、到智能家电、工业设备等等,越来越多的实体物品注入互联网元素。迅猛发展的物联网,带来越来越便捷的生活,但其中的安全隐患和漏洞也如影随形,消费者常常在不知道不觉中,就被窃取了个人隐私。


如果你还没有意识到物联网漏洞的严重性,Checkmarx亲测了一款物联网设备:智能秤,该产品通过蓝牙连接其他设备,可自动获取人体参数,并分析体重、体脂和其他数据参数。为此,我们检测了其在蓝牙及移动应用程序(Android和iOS)的安全性,而测试结果,一定让你出乎意料。

测试结果:


Checkmarx安全研究小组用静态应用程序安全测试工具CxSAST,开源软件以及其他自家的工具对三个产品进行了安全漏洞检测,发现了一系列缺陷。这些安全问题对使用者,相关应用程序以及公司本身的客户都有一定影响。


根据CVSS3的安全问题评分标准,我们发现四个“中等”严重等级的漏洞,以及可能被黑客攻击的情景。



  • 警报服务漏洞

    等级:中 - CVSS  7.1分


AEG智能秤中的硬件设置中的立即警报项中存在漏洞,攻击者可能通过BLE(低功耗蓝牙)触发特殊请求传送到设备上,导致智能设备崩溃,令用户的智能设备丢失大量信息。同时用户还可能无法关闭自己的设备,必须取出电池或者等到设备电量耗尽。



  • 通用属性配置文件(GATT)漏洞

    等级:中 - CVSS 5.3分


通用属性配置文件(GATT)的配置中,详细建立了如何通过BLE连接交换所有配置文件和用户数据。GATT配置保持MAC地址固定,这意味着蓝牙范围内的攻击者可以跟踪受害用户。



  • 更改设备名称漏洞

    等级:中 - CVSS 5.3分


攻击者在BLE范围内,可能会将设备名称改为令人反感的东西,甚至欺骗无辜的用户。此外,它还可用于更好地识别特定设备,以帮助将此攻击与其他攻击相结合。



  • 移动应用程序发送请求不使用HTTPS漏洞

    等级:中 - CVSS 4.8分


移动应用程序发出的一些请求不使用 HTTPS,这可能允许恶意用户拦截移动应用程序和主机之间发送的信息。

 Checkmarx安全研究小组曾建议该类蓝牙智能秤推出修补程序,以防止恶意用户损坏硬件,但没有得到任何回应。同时,我们不建议使用安卓和iOS的智能秤APP,这两个应用程序所需的权限超出了智能秤所需的权限,并且不安全地与第三方客户端共享私人数据。

从以上测试可以看出,物联网设备的隐私安全堪忧,物联网设备及其附带的应用程序必须具有更高的标准。


Checkmarx 的AppSec Accelerator,可帮助您简化和自动处理您的应用安全测试流程,并将其嵌入您的开发环境。我们的应用安全专家团队随时待命,确保您成功转换为安全 SDLC。若将CxSAST 和CxIAST 结合在一起,可以实现全安全覆盖。


 

Cybellum  Parasoft  bestorm  Defensics  Appcheck  Coverity  loadrunner  fortify  Checkmarx测评 | 物联网设备正在泄露你多少隐私?
上一页 返回列表 下一页
 
关于我们      |       产品展示      |       解决方案      |       经典案例      |       培训中心      |        新闻资讯      |        试用申请      |        联系我们
  • 上海望驰安防科技有限公司

    地址:上海市浦东灵山路958号5号楼2楼

    手机:18049824972

    电话:021-50150593

    邮箱: anying.ao@ruitde.com

CopyRight 2016 www.ruitde.com All Rights Reserved     版权所有:上海望驰安防科技有限公司   沪ICP备16034184号