- 資訊安全:
1.HackPwn:TCL智能洗衣机破解细节分析 by FreeBuf
TCL智能洗衣机最主要的问题时能够绕过”京东微联”平台的统一管控,再利用传输未加密、使用单一因素作为身份鉴权标识,还有XMPP会话登陆机制等特性,最终实现可以通过任意账号横向控制TCL所有的智能洗衣机。
问题总结:
(1)洗衣机终端和第三方云平台之间使用的XMPP协议传输内容未进行加密。
(2)使用base64编码洗衣机的ID和密码。
(3)洗衣机与第三方平台认证时使用的是MAC+deivce字段作为用户名进行认证标识,这样容易能够通过枚举MAC地址遍历出更多的洗衣机。
(4)使用相同的密钥进行洗衣机终端端的认证。
(5)洗衣机终端与洗衣机终端通信未进行隔离。
(6)未对京东智能云平台下发的控制会话内容为进行过滤,导致任意洗衣机都可以发送控制指令。
2.利用SS7漏洞可追踪全球数十亿部手机 by 安全牛
SS7是一种信令系统,它服务于电话公司之间,可以让手机在国与国之间漫游通话。根据国际协议规定,所有电信运营商必须通过SS7系统将其客户信息提供给另一家运营商。
对手机号码发出SS7请求,会立刻得到该手机的唯一标识符(IMEI码),进一步则可获取该手机使用者的名字和联系方式。不管用户是否开启了手机漫游,不管他们使用什么样的账户,这种方式都行得通。而最令人不安的是,它会显示当前手机连接到的最近的信号塔。
只要别有用心的黑客能够访问SS7系统,通过该信息,他们实际上就可以将特定手机号码的所有通话转移到一台在线录音设备,然后在用户不知不觉时使用中间人攻击,将通话重定向到原本的被叫号码上,监听任何手机通话。这种入侵方式还能将手机用户的地理位置跟踪信息在类似谷歌地图这样的应用中显示出来。
3.安卓新漏洞,可让黑客接管你的通话 by 360安全播报
这个问题存在于安卓手机的多任务功能,可以在同一时间允许多个应用程序。据安全研究人员称,当一个Android应用程序被运行时,该漏洞可以被用来引诱用户在一个由黑客控制的伪造的用户界面不知不觉地交出自己的登录信息。
TCL智能洗衣机最主要的问题时能够绕过”京东微联”平台的统一管控,再利用传输未加密、使用单一因素作为身份鉴权标识,还有XMPP会话登陆机制等特性,最终实现可以通过任意账号横向控制TCL所有的智能洗衣机。
问题总结:
(1)洗衣机终端和第三方云平台之间使用的XMPP协议传输内容未进行加密。
(2)使用base64编码洗衣机的ID和密码。
(3)洗衣机与第三方平台认证时使用的是MAC+deivce字段作为用户名进行认证标识,这样容易能够通过枚举MAC地址遍历出更多的洗衣机。
(4)使用相同的密钥进行洗衣机终端端的认证。
(5)洗衣机终端与洗衣机终端通信未进行隔离。
(6)未对京东智能云平台下发的控制会话内容为进行过滤,导致任意洗衣机都可以发送控制指令。
2.利用SS7漏洞可追踪全球数十亿部手机 by 安全牛
SS7是一种信令系统,它服务于电话公司之间,可以让手机在国与国之间漫游通话。根据国际协议规定,所有电信运营商必须通过SS7系统将其客户信息提供给另一家运营商。
对手机号码发出SS7请求,会立刻得到该手机的唯一标识符(IMEI码),进一步则可获取该手机使用者的名字和联系方式。不管用户是否开启了手机漫游,不管他们使用什么样的账户,这种方式都行得通。而最令人不安的是,它会显示当前手机连接到的最近的信号塔。
只要别有用心的黑客能够访问SS7系统,通过该信息,他们实际上就可以将特定手机号码的所有通话转移到一台在线录音设备,然后在用户不知不觉时使用中间人攻击,将通话重定向到原本的被叫号码上,监听任何手机通话。这种入侵方式还能将手机用户的地理位置跟踪信息在类似谷歌地图这样的应用中显示出来。
3.安卓新漏洞,可让黑客接管你的通话 by 360安全播报
这个问题存在于安卓手机的多任务功能,可以在同一时间允许多个应用程序。据安全研究人员称,当一个Android应用程序被运行时,该漏洞可以被用来引诱用户在一个由黑客控制的伪造的用户界面不知不觉地交出自己的登录信息。
- 自我成長:
1.釋放自己的怨懟,重振自己的專注力 by PINSOUL
(1)告訴自己“我將試著讓自己少一點分心”
(2)試著放手自己不安的心情,為了自己,放手那些在你敵人清單中的批判對象
(3)看看在你想要讓自己分心前,內心的心情到底是什麼,想想看為什麼你會沈溺在,檢查網路訊息,沈溺在怨懟之中;想想看你的分心,是否讓自己生活變的破碎,變得混亂呢?而這是你想要的生活嗎?
2.比起对员工做性格测试,好奇心更靠谱 by 彼得·布雷格曼
一旦我们给某事贴上一个标签,我们对它的好奇就消失了。自我评估是得出“我知道”的一个捷径。而且一旦我们对事情有所了解,我们就不再对它们感到好奇。
但是这远不及处于“我不知道”心态那么强大。真正的理解、真实的联系、才华横溢的创新以及问题解决方案,都来自于那种“不知道”心态。
对一个团队来说,作为一个整体,应该在3到5个最重要性格特征上达成共识,因为这些能够帮助团队实现目标(而不是由测试工具评估出的24种性格)。然后,对小团队来说,他们应该针对这些性格彼此给出反馈,并探讨在发挥他们的长处和规避弱处方面他们该怎么做。
为了做到这点,他们必须学会如何探讨敏感性问题,如何不带攻击态度地倾听他人意见,以及如何大胆地分享彼此的感悟。
3.對員工多些同情心與同理心 by Emma Seppälä
員工表現不佳或出錯,先別急著評斷員工,花點時間去了解事情的原因,親自指導員工,不但能建立員工的忠誠度與信任,工作表現也有可能轉好。
做主管的,第一要務就是控制自己的情緒,花點時間思考自己的感受,你才能給員工更謹慎、更有道理的反應,對方也更能體會你的反應。你必須抽離自己,才能看清狀況。然後再站在員工的角度思考,盡量發揮你的同理心。
(1)告訴自己“我將試著讓自己少一點分心”
(2)試著放手自己不安的心情,為了自己,放手那些在你敵人清單中的批判對象
(3)看看在你想要讓自己分心前,內心的心情到底是什麼,想想看為什麼你會沈溺在,檢查網路訊息,沈溺在怨懟之中;想想看你的分心,是否讓自己生活變的破碎,變得混亂呢?而這是你想要的生活嗎?
2.比起对员工做性格测试,好奇心更靠谱 by 彼得·布雷格曼
一旦我们给某事贴上一个标签,我们对它的好奇就消失了。自我评估是得出“我知道”的一个捷径。而且一旦我们对事情有所了解,我们就不再对它们感到好奇。
但是这远不及处于“我不知道”心态那么强大。真正的理解、真实的联系、才华横溢的创新以及问题解决方案,都来自于那种“不知道”心态。
对一个团队来说,作为一个整体,应该在3到5个最重要性格特征上达成共识,因为这些能够帮助团队实现目标(而不是由测试工具评估出的24种性格)。然后,对小团队来说,他们应该针对这些性格彼此给出反馈,并探讨在发挥他们的长处和规避弱处方面他们该怎么做。
为了做到这点,他们必须学会如何探讨敏感性问题,如何不带攻击态度地倾听他人意见,以及如何大胆地分享彼此的感悟。
3.對員工多些同情心與同理心 by Emma Seppälä
員工表現不佳或出錯,先別急著評斷員工,花點時間去了解事情的原因,親自指導員工,不但能建立員工的忠誠度與信任,工作表現也有可能轉好。
做主管的,第一要務就是控制自己的情緒,花點時間思考自己的感受,你才能給員工更謹慎、更有道理的反應,對方也更能體會你的反應。你必須抽離自己,才能看清狀況。然後再站在員工的角度思考,盡量發揮你的同理心。
如欲閱讀更多文章摘要,請見 每日晨摘
沒有留言:
張貼留言