近日,研究人员发现Comcast Xfinity家庭安全系统中存在一个安全漏洞,攻击者可以在不触发警报的前提下进入用户住宅。

Comcast(康卡斯特)是美国最大的有线电视公司,同时也是宽带网络及IP电话服务供应商。Xfinity家庭安全系统是一套月租型的智能家庭监控系统解决方案,不仅提供给使用者拥有住宅报警的功能之外,还可以提供使用者收看有线电视,互联网和电话的服务等服务。

Xfinity主要依靠使用电池供电的传感器检测入侵者,而这种传感器使用工作在2.4 GHz无线频段的无线通信协议ZigBee与基站进行通信,并以短信或电子邮件的形式将警报发送给用户。

Rapid7的安全专家称,Xfinity中的漏洞可以使攻击者欺骗该系统,使其不能检测到门窗的打开行为和物体的任何移动。

利用该漏洞的触发条件源于2.4 GHz无线频段,当出现错误时,Xfinity系统不能成功启动,会默认所有传感器都完好无损、门窗关闭,并且无移动物体。

该系统没有限制故障持续时间,也不会对故障发出警报,并且当无线频段恢复正常时,传感器需要花费大量的时间与集线器重新建立连接。

研究人员在系统处于ARMED状态时,将一对门窗感应器放置在锡箔中屏蔽,然后移除传感器中的磁铁,模拟无线电干扰攻击并打开了被监视的门窗。当传感器中的磁铁被拿走时,尽管传感器距离控制系统的集线器只有几英尺,系统仍然显示处于ARMED状态。当传感器恢复正常时,需要花费几分钟到三个小时的时间与集线器重新建立连接,而在这段时间内,系统仍然不会报警。

Rapid7的安全专家指出,有多种方法可以干扰传感器和基站之间的通信,比如使用无线电干扰设备,或对ZigBee协议实施基于软件的解除验证攻击等。

缓解

目前没有很好的方法可以缓解该漏洞,因为基站在处理无线电问题时,需要依靠软件或固件更新来确定处理时间,同样的,感应器重新连接基站的速度也是如此。

CERT已经发布了该漏洞,Comcast也发布公告称没有找到合适的方法解决该问题,并称会持续研究该问题,并与其他厂商共同合作,以确定合适的解决方案。

本文转自d1net(转载)

Comcast Xfinity家庭安全系统被曝严重漏洞相关推荐

  1. 通缉!可以使用您的电子邮件地址入侵的家庭安全系统

    漏洞和红队公司 Rapid7 的一名研究人员最近发现了数字家庭安全产品中的两个危险安全漏洞. 第一个漏洞于 2021 年 5 月报告并被称为 CVE-2021-39276,这意味着知道您注册产品所用的 ...

  2. 小米召开IPO启动会;乐视网发布股票风险提示;iPhone曝出新漏洞丨价值早报

    第[838]期早报由[周六]赞助播出 01 今日头条 小米召开IPO启动会,消息称大概率选择香港上市 1月19日消息:据财新报道,小米今日已召开上市启动会,多个接近小米的市场人士透露,小米倾向于选择香 ...

  3. 百度在美国遭集体起诉;iPhone 11 成苹果最畅销机型;OpenSSL 曝高危漏洞 | 极客头条...

    整理 | 屠敏 头图 | CSDN 下载自东方 IC 快来收听极客头条音频版吧,智能播报由标贝科技提供技术支持. 「极客头条」-- 技术人员的新闻圈! CSDN 的读者朋友们早上好哇,「极客头条」来啦 ...

  4. iPhone11因便宜销量超预期;三星手机曝高危漏洞;xUtils 3.8.3发布 | 极客头条

    快来收听极客头条音频版吧,智能播报由标贝科技提供技术支持. 「CSDN 极客头条」,是从 CSDN 网站延伸至官方微信公众号的特别栏目,专注于一天业界事报道.风里雨里,我们将每天为朋友们,播报最新鲜有 ...

  5. 下载量超1600万的热门开源 JavaScript 序列化包中被曝 RCE 漏洞

     聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 最近,热门的开源NPM 包 serialize-javascript 中被指存在一个漏洞,可使攻击者执行远程代码. Serialize ...

  6. 邮件裸奔,两大加密协议 PGP 与 S/MIME 被曝明文漏洞;DeepMind AI 能让自己拥有像哺乳动物那样的导航能力...

    (点击上方蓝字,快速关注我们) 转自:开源中国.solidot.cnBeta.腾讯科技等 0.邮件裸奔,两大加密协议 PGP 与 S/MIME 被曝明文漏洞 据外媒报道,一位研究人员周日表示,目前互联 ...

  7. 7月第1周风控关注 微信支付SDK曝XXE漏洞 可伪造订单

    ​易盾业务风控周报每周呈报值得关注的安全技术和事件,包括但不限于内容安全.移动安全.业务安全和网络安全,帮助企业提高警惕,规避这些似小实大.影响业务健康发展的安全风险. 1.微信支付SDK被曝XXE漏 ...

  8. 无居士 无居所 苏轼_如何安装和设置居所家庭安全系统

    无居士 无居所 苏轼 While some smarthome hubs like Wink and SmartThings can be used for home security, Abode ...

  9. BlueStacks被曝巨大漏洞,Android模拟器可被远程控制

    不久前,BlueStacks安卓模拟器出现了一个漏洞,导致攻击者可以执行远程代码.信息公开,并窃取VM及其数据的备份.而这个漏洞在5月底已经被修复. 据悉:在BlueStacks v4.90.0.10 ...

最新文章

  1. solr学习之(七)_学习solr的理由(solr的特点和应用领域)
  2. AQS.addWaiter
  3. uniapp h5 页面在移动端 遮罩层禁止滚动 --安卓和ios端完美适配(只是测试了部分机型)
  4. Spring框架学习-Spring和IOC概述
  5. 使用VC 编程改变字体 注意点--需要设置GB2312—CHARSET
  6. mysql 富文本 字段,富文本引起MYSQL出错
  7. 荷兰版《口袋妖怪GO》:不找小精灵,找免费啤酒!
  8. axure原件 总是丢失_【总结整理】AXURE原件
  9. MySQL学习笔记_03
  10. java 正切_Java tan()方法
  11. 《HeadFirst设计模式》读书笔记-第9章v1-迭代器模式
  12. QIIME 2 2020.8 版本更新学习
  13. RT3070无线网卡AP模式
  14. 总结常见应用层协议端口号
  15. 书籍《金字塔原理》读后感
  16. 对网络安全态势感知的理解和认识
  17. 从洗衣机的排水问题看文档的重要性
  18. linux删除文件text命令行,使用 Linux 文件恢复工具
  19. 计算机原理第三章ppt,计算机组成原理3 第三章 总线ppt课件.ppt
  20. 推荐一个很好用的专业学科最新文献推送网站

热门文章

  1. mysql远程定时任务_Linux下定时任务实现mysql自动备份并上传远程ftp
  2. 计算机桌面图标有小纸张,电脑桌面图标上都有个小图标,为什么
  3. 管家婆7.2集合最新打印管理器_链接海内外企业用户丨管家婆分销ERP繁体版/英文版...
  4. java spring 面向切面编程_Spring Boot实战系列(3)AOP面向切面编程
  5. 仓库货位卡标识牌_仓库货架能解决传统仓储的哪些问题?
  6. python hstack_python运筹优化(六):多变量规划问题geatpy实践
  7. log4j slf4j实现_日志那点事儿——slf4j源码剖析
  8. 解码(七):音频重采样SwrContext和swr_convert相关函数详解
  9. matlab如何矩阵相除,Matlab中的矩阵除法有问题???
  10. java输出值_java参数传递(超经典)(强烈建议自己先写出程序的输出值)