therunofsummer
Trane制造的ComfortLink II恒温器存在缺陷。恒温器允许用户通过移动设备控制室内温度,显示天气,甚至可以充当数码相框。“思科Talos部门表示,自从两年前通知特灵以来,这些问题现在终于得到了修补,这就是为什么“
进一步阅读:最好的LED智能灯泡
”不幸的事实是,安全的互联网设备并不总是供应商和制造商的高优先级,“思科威胁Alex Chiu写道。研究人员在周一的博客文章中称,“虽然智能恒温器,家庭照明和安全系统等物联网设备为我们的生活带来了更多便利,但这些漏洞凸显了不安全开发实践的危险性,”他写道。
思科发现了三个漏洞,可用于远程控制恒温器,运行恶意代码并访问本地网络。Trane于2014年4月接到通知。它在4月修补了两个漏洞Chiu说:“我们无法确定特灵是否将这些漏洞与安全建议相关联,或者他们是否有效地传达了将这些更新安装到其客户的必要性,”他中写道。 “因此,Talos建议拥有这些恒温器的用户立即更新。”ComfortLink II固件的更新版本是4.0.3,可在特灵的网站上找到。
思科发现的问题违反了一些最基本的安全原则。 ComfortLink II的固件包含两组带有硬编码密码的用户凭证。攻击者可以通过SSH登录设备,然后访问全功能的BusyBox环境,该环境是嵌入式Linux操作系统的工具包。
与缓冲区溢出相关的另外两个漏洞可能被利用。
特灵官员无法立即联系发表评论。
思科在温度调节器中发现的缺陷突显了智能设备安全风险,这种控制方式在所有不熟悉网络安全的供应商的产品中都是典型的。
![思科在温度调节器中发现的缺陷突显了智能设备安全风险,这种控制方式在所有不熟悉网络安全的供应商的产品中都是典型的。 思科在温度调节器中发现的缺陷突显了智能设备安全风险,这种控制方式在所有不熟悉网络安全的供应商的产品中都是典型的。](https://i.joecomp.com/img/security-2018/flaws-found-in-thermostats-underscore-smart-device-security-risks-cisco-says.jpg)
思科星期一警告说,它在互联网连接的恒温控制器中发现了严重的缺陷,据称它是典型的不熟悉网络安全的供应商的产品