OpenWRT容易受中间人攻击 更新通过未加密渠道传输
安全研究员报告,流行的路由器发行版 OpenWRT容易受到远程代码执行攻击,原因是它的更新是通过未加密渠道传输的,其数字签名验证很容易绕过。OpenWRT 被广泛用于路由器和其它嵌入式系统。
安全研究员 Guido Vranken 发现它的更新和安装文件是通过 HTTP 连接传输的,容易受到中间人攻击,攻击者可以用恶意更新文件去替换合法更新文件。
除此之外,它的数字签名检查和验证也很容易绕过,验证函数 checksum_hex2bin 存在 bug,在输入字符串前加空格可绕过检查,该 bug 是在 2017 年 2 月引入的。
组合这两个弱点攻击者可以向设备发送恶意更新并自动安装。OpenWRT 维护者已经释出了更新部分修复了问题。
声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。
举报投诉
-
OpenWrt
+关注
关注
10文章
127浏览量
39268
发布评论请先 登录
相关推荐
在跨境电商中,如何确保网络节点的安全性和合规性?
的协议如HTTPS来保护数据免受中间人攻击,并确保所有数据传输都通过安全的网络节点进行。 2、合规性:了解并遵守目标市场的法律法规是确保合规性的关键。这包括数据保护法规、消费者权益法、
开源物联网技术--AES加密功能技术分享
一、AES加密功能 在物联网行业中的应用 AES加密功能在物联网行业中有着广泛的应用。随着物联网技术的不断发展,越来越多的设备连接到互联网上,这也增加了数据泄露和网络攻击的风险。为了保护物联网设备
空调协议转Modbus协议网关支持TSL/SSL加密传输
TSL/SSL加密传输是一种通过在网络通信中建立加密通道来保护数据安全性与完整性的重要技术,而我们钡铼空调协议网关BL120AC所支持的数据加密传输也是TSL/SSL。 TSL/SSL
ESP8266 AT命令固件是否受KRACK影响?
19:34:38)
SDK版本:2.1.0(116b762)
编译时间:Sep 20, 2017 20:32:34
OK
此版本是否受 KRACK(WPA2 攻击)影响?
发表于 07-16 06:07
请问esp-now如何确定消息是否加密?
使用
esp_now_add_peer(MAC1, ESP_NOW_ROLE_COMBO, CHANNEL, key, sizeof(key));
现在的问题是,我仍然可以接收未加密的消息,例如广播消息。而且我无法发现它们实际上是未加密的!因此,任何
发表于 07-09 07:14
DTU如何运用VPN加密技术提升数据传输安全?
在当前的物联网时代,数据的安全传输显得尤为重要。DTU作为一款通过无线通信网络进行传送的无线终端设备,其在气象、水文水利、地质等行业的应用中,对于数据传输的安全性有着极高的要求。本文将探讨如何
基于 FPGA 的光纤混沌加密系统
128 位组成(原因是我们每次加密的数据是 128 位)。对于每一个子帧,帧头为起始的 16 位数据,具有和其他 112 位数据不一样 的脉宽长度,便于后续的帧解析。
通过我们的设计,即使传输
发表于 04-26 17:18
可以通过BLE将UART格式的数据从PSoC-4 BLE传输到PC,而不必在PC端使用Cypress BLE加密狗吗?
我想通过 BLE 将 UART 格式的数据从 PSoC-4 BLE 传输到 PC,而不必在 PC 端使用 Cypress BLE 加密狗。 我想知道这是否可能。
注意:我已经 在 github 中试
发表于 01-30 07:13
即将推出的 OpenWrt One/AP-24.XY:OpenWrt官方 和 Banana Pi官方合作路由器板
OpenWrt开发人员正在与Banana Pi合作开发OpenWrt One/AP-24.XY路由器板。OpenWrt 是一个轻量级嵌入式 Linux 操作系统,支持近 1,800 个路由器和其他设备。然而,这将是第一块由
应用方案:实时数据加密
方案使用了MCU的以太网MAC部分,以及CPLD部分,帮助客户实现了图像传输的实时加密。在以太网图像传输上的应用,CPLD截取MAC传输的数据,加上了自定义的CRC值,再
发表于 01-15 08:57
即将推出的 OpenWrt One/AP-24.XY:OpenWrt 和 Banana Pi 合作路由器板
的制造和分销。
截至OpenWrt 23.05 版本,近 1,800 个路由器和其他设备正式受到轻量级嵌入式 Linux 操作系统的支持,还有更多设备声称通过操作系统的分支运行 OpenWrt。但这些
发表于 01-13 09:56
微软2024年首个补丁周二修复49项安全漏洞,其中2项为严重级别
值得关注的是,编号为 CVE-2024-20674 的 Windows Kerberos 漏洞 CVSS 评分为 9,可谓当之无愧的“年度最危险漏洞”。据悉,此漏洞可使黑客发动中间人攻击,通过假冒 Kerberos 认证服务器欺
使用App盾方案加固移动应用
拥有对企业数据访问权限的易受攻击的应用程序是此类威胁的潜在渠道,并且在与受限制的商业环境进行交互时很少受到监控。大量的应用程序存储在App Store中,其中很大一部分是未经缓解的移动应用程序
ADC的输入阻抗能达到多大,输入阻抗很大是否更容易受干扰?
关于ADC的疑问:
1、ADC的输入阻抗能达到多大,输入阻抗很大是否更容易受干扰?
2、从DATESHEET的技术指标如何获得输入阻抗大小?
3、一般,ADC的输入能承受多大的负电压信号,输入伏电压信号为什么会有输出?
发表于 12-20 07:25
工商网监
评论