對安裝在員工辦公桌下的可疑物聯網設備進行逆向工程

如果你在工作的辦公桌下發現了一個看起來可疑的物聯網設備,你會怎麼做? 如果您是僱主,如何在辦公樓中安裝無害的物聯網設備,並引起員工的關注? 如果您想生產自己的IoT設備,如何確保它們符合道德,合法和安全?

埃里希·施泰格 (Erich Styger) 在他通過逆向工程在真實辦公室中發現的物聯網設備的旅程的日誌中回答了所有這些問題。 出於道德和可能的法律原因,styger沒有透露該設備的確切位置,也沒有透露是誰設計或製造的。 他一直在與製造商聯繫,以使他們知道他發現的缺陷,但他的職位主要用於教育目的。

發現這些特定設備安裝在整個工作空間中,包括員工辦公桌下方。 每個物聯網設備都是磁性安裝的,很容易移除,但它們的用途並不清楚。 這本身就是第一個危險信號。

僱主絕不應在僱員不知情的情況下安裝監控設備。 其餘的大多數危險信號都涉及硬件的安全性,其中充滿了漏洞。 在易於打開的外殼內是帶有LoRa模塊和天線的PCB,STM32 Arm Cortex-M0微控制器,濕度/溫度傳感器,PID運動傳感器以及顯然未連接的加速度計。

事實證明,該設備旨在通過辦公室簡單地監控環境狀況,並通過PID傳感器通過運動觸發,以節省電池壽命。 但是,Styger發現了多種方法來攔截該數據,甚至發現了注入虛假數據的方法。 收集數據的最簡單方法,更重要的是秘密應用程序密鑰,是在微控制器和LoRa模塊之間傳輸時簡單地拾取它,因為它是作為明文發送的。

有了這些信息,該設備可能會通過LoRaWAN網路被欺騙。 調試引腳和功能甚至可以訪問,因此可以複製,反向工程和修改設備固件。 基本上,如果您正在尋找有關設計安全的IoT設備時不應該做什麼的詳盡解釋,那麼Stygers博客文章是完美的相關問題,我沒有得到Google Glass Explorer Edition。

在沒有硬件的情況下嘗試學習Glass dev是徒勞的嗎? 不,您仍然可以在沒有硬件的情況下學習玻璃開發的基礎知識。 完成此操作的主要方法有三種: 1) 訪問鏡像API文檔,進入遊樂場,並開始散列一些代碼。

下載PHP、Java和Python庫,無論你最喜歡哪一個。 熟悉行話和轉換 (時間軸,捆綁包,菜單等)。 閱讀支持文檔 (下面的第二個鏈接),以了解Glass硬件的實際功能。

根據此規範構建一些應用程序。 很快,你會找到一個有硬件的朋友