- 综合排序
- 最热优先
- 最新优先
- 来自专栏物联网IOT安全
【IOT安全】IOT固件安全基础-固件仿真介绍
声明:Tide安全团队原创文章,转载请声明出处!文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担! 0X02Attify OS简介 用于物联网设备渗透测试的发行版无需花费时间安装,配置和设置IoT渗透测试所需的各种工具,而是为您准备了一个预制发行版,其中包含在任何物联网安全评估或渗透测试中都将方便使用的工具
4.5K30发布于 2020-03-10 - 来自专栏ffffffff0x
IOT安全 :HID
前言 随着国内网络安全制度的不断完善,网络管理人员安全意识也逐步提高,大部分公司的内部网络出网有着严格的管控限制,从外网入侵难度变得极高,因此攻击者也在不停的改变攻击手段。 HID攻击需配合社会工程学才能进行攻击,因此除了设备上的防护能力要增强,个人的安全意识也需要增强。 --- 本文作者 r0fus0d
2.2K11发布于 2021-01-04 - 来自专栏FreeBuf
IoT安全测试指北
关于IoT安全测试的方法,网上也有一些资料,但感觉有用的分享并不多,且杂。 关于IoT要学的东西也还有很多,肯定不是本文这些内容就能说完的,本文就个人已知的知识部分结合经验简单总结一下IoT如何进行安全测试。 IoT体系结构 作为安全人员,需要对测试目标进行充分了解后才能去思考目标可能会存在的问题,也是本质上的从信息收集开始做起。 、MQTT HTTP HTTP协议大概是安全人员最熟悉的协议之一了,在IoT情景中,简单分为两种情况,有web应用和没有web应用的。 以上其实还是偏向于web安全测试,但是也有部分IoT设备能提供特别的环境,局域网。
3.5K10发布于 2020-09-14 - 来自专栏安智客
小米IoT安全实践解读
小米已经举办二届MIDC IoT安全峰会,雷军说:小米始终把安全放在IoT平台的首要位置,也一直为打造全球最大的安全的IoT平台而奋斗,同时我们愿意对外输出完整的IoT安全技术体系。 解读一:从2017年的《小米IOT安全之路》到2018年的《小米IOT安全思考与实践》,小米IOT安全开始走上正轨。 ? 到了2018年,小米IOT安全应该说还是有了巨大的进步。有了米家安全芯片,而且还面对如此多五花八门的攻击方式,给出了如何保障安全的思考。 ? 解读二:小米解决IOT安全的思路有哪些变与不变? ? 全面介绍了小米IOT安全方案方法论,而且较深层次展现了小米在IOT安全的思考。 解读三:2018小米IOT安全实践有: 1,IOT产品生命周期管理:上市流程、供应链安全。 2,小米智能生活安全守护计划。 3,保证安全方法论:减少设备端攻击面。
2.2K20发布于 2018-12-25 - 来自专栏FreeBuf
关于IoT安全我有话说
随着5G的到来,万物互联渐渐走入了千家万户,但是接着而来的就是安全问题了,目前市面上的路由器,摄像头,智能门锁等都普遍存在flash问题,也就是说拆掉flash放到xtw100上可以直接dump出未加密的原始数据 一、iot大致的破解流程 1.1 寻找uart接口 当然一些板子做了一些简单的防护,要不少焊接一个零部件,要不没有焊接引脚,但是总归是从soc上把uart的线引出了。 1.3 文件系统密码 一些厂商也可能稍微做了一些安全防护,设置了一个复杂的密码,如果你不知道密码,可能控制台就不好使了,所以就需要用到binwalk这个软件,解压缩文件系统,替换一下密码,再打包一下 1.4 1.5 开始挖掘漏洞 到了这一步,就开始传送gdbserver到iot设备上进行调试,挖掘漏洞,这里我就不扩展了。 最后祝愿IoT越来越红火。 一年没有见,刀郎想你们了。 *本文原创作者:刀郎,本文属于FreeBuf原创奖励计划,未经许可禁止转载
1.2K40发布于 2019-08-30 - 来自专栏博文视点Broadview
IoT技术架构与安全威胁
IoT安全概述 IoT时代,所有设备都将内置一个智能芯片和智能OS,所有设备都能通过各种网络协议进行通信,而且是724小时相连,能够产生真正海量的大数据;并且,伴随大数据应用的逐步升级,也会让机器变得更加智能 然而,安全问题会给用户带来极大的困扰,甚至对互联网造成一定的威胁。IoT所暴露的安全问题越来越多,被关注度也与日俱增。 目前,市面上大多数第三方IoT云平台都做得比较安全,而第三方云和原厂的云平台之间会统一API接口,有时找到API接口的文档,会对安全研究有帮助。 ? IoT安全威胁分析 随着智能硬件创业的兴起,大量智能家居和可穿戴设备进入了人们的生活,根据Gartner报告预测,2020年全球IoT设备的数量将高达260亿个。 由于安全标准滞后,以及智能设备制造商缺乏安全意识和投入,IoT安全已经埋下极大隐患,是个人隐私、企业信息安全,甚至国家关键基础设施的头号安全威胁。 目前,IoT存在5大安全隐患。 ?
1K30发布于 2020-06-12 - 来自专栏腾讯安全
腾讯安全正式发布《IoT安全能力图谱》
腾讯安全专家咨询中心,结合IoT相关标准和国内外IoT最佳实践,针对企业如何构建IoT安全能力体系,发布整体能力清单和指导框架,绘制成通用性的IoT安全能力图谱,旨在帮助企业面向万物互联时代进行安全能力转型和升级 1压缩2.jpg 关注腾讯安全(公众号:TXAQ2019) 回复【IoT安全能力图谱】获取原图 腾讯IoT安全能力图谱提出了六大能力:IoT安全治理能力、信任链构建能力、价值链保护能力、IoT系统“管边端 ”安全管控能力、IoT系统生命周期管理能力、IoT系统安全运营能力。 IoT系统生命周期管理能力和IoT系统安全运营能力,定位于对IoT安全治理要求和上述三项能力在IoT系统建设中的有效执行落地、以及运营过程中的持续监控和处置。 一、IoT安全治理能力 任何信息安全治理能力的核心,都是对风险的有效识别和持续管控,IoT安全同样并不例外。
1.5K20发布于 2021-04-08 - 来自专栏安恒信息
物联网IoT安全服务案例分享
——END——
1.5K80发布于 2018-04-10 - 来自专栏FreeBuf
白话物联网安全(三):IoT设备的安全防御
.html 我们这次先说IoT设备的安全,谈IoT设备安全防御,这次谈IoT的设备安全,咱们先要涉及到IoT的协议,现在IoT的协议非常多,主要设计这些,蓝牙,Zigbee,Z-Wave,6LowPAN 那我们说说IoT安全防御第二层必须要考虑的安全,近场控制,近场指的是在指定范围内,可以通过某种手段去连接到与IoT设备同一网络环境下,对IoT设备进行攻击,我们常见的wifi,蓝牙,射频等等,IoT设备与其他设备不同 有关近场安全,现阶段安全的做法就是加密,隐藏信号。 我们现在谈一谈IoT安全防御的最后一块,远程控制,远程控制就是那些我们大量直接裸漏的暴露在公网上的IoT设备,单单只靠IoT设备本身很难进行防御。 这时候我们就不得不多现在裸露在公网的IoT设备的目前存在5大安全隐患。 ? 总结一下,这次安全防御主要从三个方向去谈了IoT设备的安全,物理,近场和远程,现在市面上的安全设备,针对IoT的防御很多都只是把IoT上的承载的功能系统作为纯互联网设备进行防御(而且缺乏大量规则库),面对近场和物理的防御
1.2K50发布于 2018-12-28 - 来自专栏智能时刻
IoT安全:让我们不要忘记的“事情”
在互联网上,安全行业通过促进和实现安全实践来保护我们免受伤害。这些“内置”安全实践包括相互认证,加密,安全协议和信任。但现实世界呢? 事物互联网(IoT)在大多数情况下都没有使用类似的内置安全架构来创建。这是因为人们在连接和/或智能化之前很久才拥有许多事情。 如果攻击者可以访问用户的手机,并且仅通过滑动模式进行保护,则攻击者可以访问所有用户的个人数据,其中IoT包括家庭自动化,车辆保护和健康监控系统。 例如,想象一下,公共建筑中的一个连接有IoT的运动检测器,其中有恶意意图的人物理地进入建筑物,并有意地触发传感器,同时嗅探无线网络以捕获在检测到运动时发生的加密的无线通信。 奥地利酒店最近的一个活动突出了另一种类型的具有IoT功能的黑客. 锁酒店门索要赎金而人里面,和有效的价格点设计,黑客利用一个商业系统,过分信任网络的钥匙,没有物理按键的解决方法或旁路的方法。
74260发布于 2018-04-09 - 来自专栏FreeBuf
2020年IoT终端安全白皮书
梆梆安全作为国内专业的移动安全与物联网安全厂商,结合前期工作基础及自研IoT固件融合分析平台的统计数据,编制了此报告,旨在对2020年典型IoT终端面临的安全风险进行汇总分析,多维度呈现威胁态势,量化漏洞风险等级 这些设备几乎没有安全措施,在这种情况下,影子IoT设备与企业网络的连接增加了攻击面,带来更大的安全隐患。 IoT设备承载了越来越多的生产生活数据和个人隐私信息,其安全问题也逐渐得到重视。由于IoT设备海量异构的特性,其安全攻击带来的后果也更为多样和严重。 再加上受限于IoT设备的成本低、算力有限等现实因素,目前的安全机制很难直接复用到IoT设备上,导致IoT设备自身防护能力较弱,易被利用安全漏洞开展入侵、攻击等行为。 三、IoT终端安全数据统计分析 3.1 检测样本数据统计 梆梆安全利用IoT固件融合分析平台,对2020年市场上主流的IoT设备固件进行了自动化抓取与安全检测,并对其中版本较新的433款设备的安全检测结果进行了统计与分析
2.7K10发布于 2021-03-09 - 来自专栏智能时刻
IoT安全:让我们不要忘记的“事情”
在互联网上,安全行业通过促进和实现安全实践来保护我们免受伤害。这些“内置”安全实践包括相互认证,加密,安全协议和信任。但现实世界呢? 事物互联网(IoT)在大多数情况下都没有使用类似的内置安全架构来创建。这是因为人们在连接和/或智能化之前很久才拥有许多事情。 如果攻击者可以访问用户的手机,并且仅通过滑动模式进行保护,则攻击者可以访问所有用户的个人数据,其中IoT包括家庭自动化,车辆保护和健康监控系统。 例如,想象一下,公共建筑中的一个连接有IoT的运动检测器,其中有恶意意图的人物理地进入建筑物,并有意地触发传感器,同时嗅探无线网络以捕获在检测到运动时发生的加密的无线通信。 奥地利酒店最近的一个活动突出了另一种类型的具有IoT功能的黑客. 锁酒店门索要赎金而人里面,和有效的价格点设计,黑客利用一个商业系统,过分信任网络的钥匙,没有物理按键的解决方法或旁路的方法。
69340发布于 2018-04-09 - 来自专栏智能时刻
基于区块链的IoT的安全模型
通过任何想象力开发模型永远不会是一件容易的任务,真正安全的IoT模型面临着许多障碍和挑战。 攻击流量的一个来源是由未来的恶意软件感染的IoT设备,这是一个在线可用的简单程序。这次袭击是由于网络安全的担忧增加,互联网安全漏洞的数量不断增加。 最重要的是,它是安全的。数据库只能扩展,以前的记录不能被更改(至少如果有人想改变以前的记录,则成本很高)。 区块链在物联网中的优点 图2使用块链的IoT的主要优点 ? 例如,通过利用Blockchain,IoT解决方案可以实现IoT网络中的设备之间的安全消息传递。在这个模型中,Blockchain将处理类似于比特币网络中的金融交易的设备之间的消息交换。 最佳安全IoT模型 开发物联网的安全模型需要为每个物联网生态系统进行前所未有的协作,协调和连接。所有设备必须一起工作,与所有其他设备集成;所有设备必须与连接的系统和基础设施进行无缝通信和交互。
1.5K50发布于 2018-04-09 - 来自专栏用户5246261的专栏
解构IoT安全隐患,探寻安全防护部署新思路
作为基于互联网的新兴信息技术模式,IoT领域除了面临所有与互联网同类型网络攻击威胁的同时,还因其多源异构性、开放性、泛在性等特性而面临更多更复杂的攻击威胁,IoT安全问题也已成为发展的关键之一。 几维安全IOT安全整体解决方案.png 根据IoT技术实现原理分析,其安全风险包括设备安全、通信网络安全、应用安全、数据安全等内容。 基于不同环节安全风险、形成原理及安全加固需求分析研究,几维安全通过单产品部署、产品组合相结合的方式进行安全防护方案设计,如: IOT虚拟化ID认证系统 解构IoT安全隐患-2.png 将需要保护的功能逻辑转换成混淆后的虚拟机指令大幅提升代码被逆向分析的难度 IoT防护实践探索 以某智能门锁安全加固需求为例,根据对应用特征分析可见,智能门锁主要应用于公寓、酒店、家庭等场景,是关系到财物安全关键环节之一。 几维安全将持续进行IoT安全防护探索,助力IoT安全生态的健康发展。
1K10发布于 2019-04-22 - 来自专栏FreeBuf
物联网安全研究之一:IoT架构介绍
最近,很多人都向我咨询物联网(IoT)安全研究如何入门的问题,以此,我打算写一些物联网相关的安全加固、渗透测试和漏洞利用的文章,以供大家参考借鉴,希望能帮大家解疑释惑。 提示:本博客系列的研究是通用的,可应用到智能家居、工控、医疗保健、运输等领域的IoT产品的安全研究;文章涉及的“设备”、“硬件”和“传感器”等词都代表同类IoT产品;由于不同物联网技术性质,文中提及的物联网生态系统代表物联网产品或相关解决方案 IoT不等于硬件 很多人都存在这样一个误解:IoT就是硬件,这种误解形成的主观认识让很多安全人员都不愿涉足IoT安全研究领域。 更重要的是,如果你能渗透其它IoT相关组件服务(如云端等),那么IoT安全的危害将会更大。 几年前当我学习IoT安全时也就遇到了类似问题,我就试着把问题分解并单独攻关,像我这样的普通人可以做到,我想你们也能做到。
4.4K90发布于 2018-02-26 - 来自专栏程序你好
是什么让物联网IOT不安全?
随着连接设备变得越来越流行和易于访问,与物联网设备相关的安全风险正引起开发人员的严重关注。 五年前,我在纽约市第一次参加物联网(IoT)会议,当时“数字转型”(digital transformation)一词刚刚开始成为一个热门词汇,物联网设备正随处可见。 请输入描述 没有完全理解风险 制造商总是希望率先上市,推出最新的设备,但不了解这些设备可能存在的真正安全风险。这意味着在功能竞争中,可能会忽略一些安全缺陷。 易于设置和身份验证 物联网设备的部署也继承了安全缺陷。通常,通过设置安全密码或安装通信安全密钥来锁定设备需要使用者方面的一些工作。然而,这些设备被设计为尽可能容易地安装,几乎没有配置。 致力于更安全的物联网设备 这些原因是物联网世界中最紧迫的问题,对攻击者来说是有利可图的,对安全从业者来说是困难的。然而,这并不意味着我们应该放弃。有很多方法可以让物联网设备既方便消费者,又不受攻击。
49930发布于 2018-07-20 - 来自专栏FreeBuf
白话物联网安全:公网数据下的IoT
前提回顾 第一章《什么是物联网的信息安全”》,我们讲了什么物联网,包含了哪几方面的东西,物联网的信息安全会涉及到什么,第二章《物联网的安全检测》,我们从一个IoT漏洞自动化利用工具AutoSploit讲起 ,讲到我们该如何检测我们常见的物联网存在的安全问题。 第三章《IoT设备的安全防御》,我们从三个方向去谈了IoT设备的安全,物理,近场和远程,和现在市场上缺少的物联网安全防御体系。 第四章,我们探讨一个概念性的话题,泛在物联网,在这个基础上我们在试试站在甲方爸爸的角度上谈一谈泛在物联网的安全怎么做。 第五章,站在公网的数据角度上我们来看看现在的IoT安全。 正文:公网数据下的IoT 分析IoT数据之前,先简单说近期的一个安全事件,2020年1月底,APT228组织爆出来50万被攻击IP地址,交换机,路由器,物联网设备都有,国内国外都有,地址账号密码,撸了一份回来后
98210发布于 2020-05-14 - 来自专栏网络安全技术点滴分享
IoT设备检测技术更新与安全防护
IoT设备检测 | FortiGuard实验室版本信息版本号: 34.10400发布日期: 2025年10月21日 09:33更新内容新增设备支持(2项)Kiloview.Converter - 新增检测支持 Planet.Router - 新增签名Raisecom.ISCOM - 新增签名Smartrg.Devices - 新增签名Teldat.Router - 新增签名技术特性该更新属于FortiGuard安全服务的一部分 ,专注于:IoT设备识别与分类设备指纹签名库更新网络流量分析检测安全策略自动执行服务集成IoT设备检测服务可集成至:网络访问控制解决方案安全自动化响应系统威胁情报平台终端防护产品通过持续更新设备检测签名 ,帮助企业准确识别网络中的物联网设备,及时实施适当的安全策略,防范针对IoT设备的网络攻击。
15910编辑于 2025-10-23 - 来自专栏腾讯安全应急响应中心
物联网安全系列之探索IoT通信安全的研究之道
文|Tencent Blade Team Nicky & Alien 通信作为IoT系统架构的重要组成部分,是新基建时代的万物互联的连接器,也自然成为了IoT安全研究员们关注的重点,本文整理自Tencent Blade Team在2020年小米AIoT安全峰会上分享的议题速记内容,主要分享如何从架构设计,协议栈实现,实际部署等角度出发,对多种“非主流”却又广泛使用的有线与无线IoT通信机制进行攻击面分析与漏洞挖掘 第一部分主要是IoT通信安全概述与研究思路,包含我们对IoT通信技术的理解,以及我们团队研究这些通信技术进行安全研究时的一些思路。 图片 1.png 这是我们整理的一个IoT通信架构图,大家看到一些物联网架构的时候通常会把物联网分为云管端三部分,我们今天主要关注的是管道,比如说物联网节点和节点、节点与网关、网关与云等通信技术的安全性 图片 2.png 然后讲一下我们团队做IoT通信协议安全研究的视角,也就是我们怎么去分析IoT通信协议的攻击面的。
1.4K21发布于 2020-11-24 - 来自专栏FreeBuf
IoT安全之殇:小心你的摄像头
这是生活中真实的案例,还有很多人并不知道自己家的摄像头存在各种安全隐患,摄像头下的隐私正被偷窥着。 作为一名安全研究人员,笔者写此文旨在提醒广大摄像头使用者提高网络安全意识,督促摄像头厂商关注产品生命周期的安全性,使得智能摄像头在给大家带来各项便利的同时,也能让大家用得放心。 物联网设备大都存在设备系统较老,人员维护少,固件缺乏自动更新机制,更新慢等特点,所以一旦联网,就会马上成为攻击者的靶标,从而沦落为安全重灾区。 0x03:缓解建议 针对智能摄像头面临的安全风险,建议采用代码审计、渗透测试、人员安全意识培训、安全接入和行为审计,全面保护入网设备安全。 用户及时更改默认账户名和密码。 及时升级固件到最新。 设备厂商要关注安全开发,并进行安全测试,充分考虑黑客的攻击场景,并规避潜在的产品配置和代码缺陷。
1.4K10发布于 2020-08-07
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号