従業員のデスクの下に設置された疑わしい IoT デバイスのリバース エンジニアリング

職場の机の下に不審な IoT (モノのインターネット) デバイスを見つけたら、どうしますか?あなたが雇用主である場合、無害な IoT デバイスをオフィス ビルにどのように設置し、従業員に懸念を抱かせますか?独自の IoT デバイスを作成したい場合、それらが倫理的、合法的、かつ安全であることをどのように保証しますか?

Erich Styger は、実際のオフィスで見つかった IoT デバイスのリバース エンジニアリングを行った彼の旅のログで、これらすべての質問に答えています。 彼はメーカーと連絡を取り、見つけた欠陥について知らせていましたが、彼の投稿は主に教育目的を目的としています.

これらの特定のデバイスは、従業員の机の下を含む作業スペース全体に取り付けられていることがわかりました。 各 IoT デバイスは磁石で取り付けられ、簡単に取り外せましたが、その目的は明確ではありませんでした。 それ自体が最初の危険信号です。

雇用主は、従業員の知らないうちに監視機器を設置してはなりません。 残りの危険信号のほとんどは、脆弱性に満ちたハードウェアのセキュリティに対処しています。 簡単に開けられるケースの中には、LoRa モジュールとアンテナ、STM32 Arm Cortex-M0 マイクロコントローラー、湿度/温度センサー、PID モーション センサー、加速度計を搭載した PCB がありましたが、これらは接続されていないように見えました。

結局のところ、デバイスは単にオフィス全体の環境条件を監視することを目的としており、バッテリー寿命を節約するために PID センサーを介して動きによってトリガーされました。 しかし、Styger はそのデータを傍受する複数の方法を発見し、偽のデータを挿入する方法さえ発見しました。 データを収集する最も簡単な方法は、さらに重要なことに秘密のアプリ キーを、マイクロコントローラーと LoRa モジュールの間で送信されたときに取得することでした。これは、データがクリア テキストとして送信されたためです。

その情報により、デバイスは LoRaWAN ネットワークを介してスプーフィングされる可能性があります。 デバッグ ピンと機能はアクセス可能なままだったので、デバイスのファームウェアをコピー、リバース エンジニアリング、および変更することができました。 基本的に、安全であるべき IoT デバイスを設計する際にすべきでないことの詳細な説明を探している場合は、Stygers のブログ投稿が最適です 関連する質問 Google Glass Explorer Edition を入手できませんでした。

ハードウェアなしでGlass devを学ぼうとするのは無駄な努力ですか? いいえ、あなたはまだハードウェアなしでガラス开発の基础を学ぶことができます。 これを実現するには、主に3つのアプローチがあります。1) Mirror APIドキュメントにアクセスし、遊び場にアクセスして、いくつかのコードのハッシュを開始します。

最も快適なPHP、Java、およびPythonライブラリをダウンロードしてください。 専門用語とコンヴァーション (タイムライン、バンドル、メニューなど) に精通してください。 Glassハードウェアが実際にどのように機能するかについては、サポートドキュメント (以下の2番目のリンク) をお読みください。

この仕様に合わせていくつかのアプリをビルドします。 すぐに、あなたはハードウェアを持つ友人を見つけるでしょうt