增強數碼顯示屏的保安性：最新的保安研究結果和建議

在當今的數碼時代，數碼顯示屏已成為各行業向客戶推廣產品和顯示資訊的流行工具。然而，作為普遍放置於公眾場合的物聯網裝置，數碼顯示屏亦存在受到網絡攻擊的風險。因此，HKCERT 針對數碼顯示屏進行了保安研究。

發佈日期: 2025年01月20日 368 觀看次數

保安研究摘要

本保安研究旨在識別普遍數碼顯示屏系統上潛在的保安風險，並為數碼顯示屏用戶提供保安建議。此保安研究對選定的數碼顯示屏、其客戶端應用程式和網頁管理平台應用程式進行測試。此保安研究採用了灰盒測試方法，在了解其網絡環境、數碼顯示屏的 IP 地址和管理伺服器的憑證下進行。

本保安研究共發現了 20 項研究結果，並按風險等級分類：

於顯示屏網頁管理平台的研究結果

高風險研究結果：
1. 敏感數據洩露 – 存取管制不足允許未經授權存取敏感資訊，有假冒用戶和系統入侵的風險
2. 不安全的密碼雜湊（Password Hash） – 使用無鹽（Unsalted）的密碼雜湊使黑客很容易破解密碼
3. 過時的程式碼庫 – 使用已知漏洞的過時程式碼庫會帶來保安風險
4. SQL 注入 – 不正確的輸入清理允許潛在的 SQL 注入攻擊，從而危及資料庫安全
5. 存取管制不足 – 由於基於身份的存取管制不足，普通用戶可以執行特權操作
中等風險研究結果：
1. 繞過客戶端驗證 – 以繞過客戶端驗證，允許對用戶數據進行未經授權的更改
2. 跨網站指令碼攻擊 – 輸入清理不當會導致跨網站指令碼漏洞，從而面臨未經授權執行指令的風險
3. 固定通訊：用戶登入後未更改的通訊令牌允許黑客假冒用戶的通訊溝通
4. 未經身份驗證可以讀取檔案 – 如果缺乏存取管制，黑客可以在不進行身份驗證的情況下由已知的 URL連結讀取檔案
低風險研究結果：
1. 無需重新身份驗證即可更改密碼 – 可以在沒有當前憑證的情況下更改密碼，從而面臨未經授權的更改風險
2. 使用不安全的 HTTP協定 – 敏感數據通過 HTTP 傳輸，使其暴露於被截取的風險並損害私隱

於顯示屏裝置的研究結果

高風險研究結果：
1. 通過紅外線進行未經授權的控制 – 顯示屏中的紅外線感測器允許黑客使用遙控器控制設備，從而實現關閉顯示屏等操作
2. 未經授權向顯示屏發送指令 – 黑客可以冒充伺服器向顯示屏發送命令，從而可能遠端關閉裝置
3. 暴露的外部介面埠 – 顯示屏有多個外部埠，黑客可以通過USB注入惡意內容進行攻擊
4. 啟用的觸控屏允許管制 – 顯示屏上的觸摸手勢可用於退出媒體播放機或存取設置，構成安全風險
5. 使用USB裝置顯示惡意程式 – 顯示屏可以從 USB 設備運行程式，從而允許黑客執行惡意軟件
中等風險研究結果：
1. 未加密的數據流量 – 來自顯示屏的數據流量未加密，使其容易受到截取和中間人攻擊（Man-in-the-Middle Attack）
2. 系統內的防毒軟件或防火牆功能被停用 – 一些顯示屏禁用了系統裡防毒軟件或防火牆功能，增加了未經授權的存取和惡意軟件的風險
低風險研究結果：
1. 阻斷服務 – 顯示屏容易受到阻斷服務攻擊，這可能會減慢速度或使其無法使用
2. 暴露了不必要的網絡服務 – 顯示屏啟用了不必要的網路服務，增加通過開放的網絡端口進行攻擊的風險

本保安研究提供了下列的保安建議以降低上述的保安風險。顯示屏用戶亦可以參考《物聯網數碼顯示屏保安指南》中採取進一步保安最佳實踐，以保護數碼顯示屏的環境。

對於顯示屏網頁管理平台的保安建議

對於數碼顯示屏裝置的保安建議

是次針對數碼顯示屏的保安研究突顯了黑客使用不同可行的渠道對其裝置進行入侵，從而發動進一步攻擊。通過採用上述建議的保安措施，數碼顯示屏用戶可以顯著降低受攻擊的風險並增強系統的整體保安性。持續的警惕和積極的保安實踐對於保護數碼顯示屏系統免受不斷演變的威脅至關重要。

請點擊《物聯網數碼顯示屏保安研究報告》下載。用戶或開發者如對研究有任何意見或查詢，歡迎通過電子郵件 [email protected] 或 24 小時電話熱線 8105 6060 聯繫 HKCERT。

相關標籤

分享至

在節慶期間採取網絡保安最佳實踐

2024年12月17日 2936 觀看次數