物联网管理平台的安全弱点
摘要:物联网(IoT)设备是日常生活的一部分,正在在各个行业、企业和农业领域发挥越来越重要的作用。当前的物联网生态系统依赖于多个物联网管理平台来管理和操作大量的物联网设备、它们的数据和连接。鉴于它们的关键角色,这些平台必须得到适当的安全保护,以防止网络攻击。在这项工作中,我们首先探索了主要平台的核心操作/功能,以设计一个系统性的安全评估框架来评估这些平台。随后,我们使用我们的框架来分析一组代表性的52个物联网管理平台,包括42个基于Web的平台和10个本地部署的平台。我们发现了9/52个经评估的物联网管理平台中严重的未经授权访问漏洞,这些漏洞可以被滥用来进行攻击,如远程物联网SIM卡停用、物联网SIM卡过度充电和物联网设备数据伪造。更严重的是,我们还发现了13/52个平台中的身份验证问题,其中包括8/52个平台的完全接管和2/52个平台的远程代码执行。实际上,17/52个平台存在可能导致平台范围攻击的漏洞。总体而言,我们发现了33个平台的漏洞,其中28个平台对我们的负责任披露做出了回应。我们还获得了11个CVE编号和赏金。
作者:Bhaskar Tejaswi, Mohammad Mannan and Amr Youssef
论文ID:2307.13952
分类:Cryptography and Security
分类简称:cs.CR
提交时间:2023-07-27