由一个MixPadS引起的个人信息泄露的整套逻辑

最新推荐文章于 2024-09-19 15:45:00 发布
置顶 最新推荐文章于 2024-09-19 15:45:00 发布
阅读量1k 收藏
点赞数
文章标签: 安全 泄露 个人隐私 MixPadS ORVIBO
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/leekwen/article/details/110558808
版权

到此,由于时间原因,关于MixPadS的话题先告一个段落吧!

只是想说一下,从一个硬件设备到个人信息泄露的整个链条中,安全性到底哪里出了问题?

由一个硬件的漏洞,到提取软件固件,从软件固件分析出对应的漏洞,从软件漏洞获取实际设备的控制权限,整整一套的处理逻辑,

完全符合看雪论坛里的一个典型的本色话题!

当然,如果是看雪论坛的“段钢”大哥大,估计会延申地更远,且暂且不论到底影响有多大,

但毕竟说明一点,安全性是件大事!

所以,还是那句话, 问题到底出在了哪里?

是MixPadS本身,还是ORVIBO研发工程师自己的疏忽,抑或是我这个好事者!

在中国高手有很多,而我们需要防止的不是全部的人,而是那些即使高手却又是小人的人,

抑或一句概况:目前的产品,只能是,防君子不防小人估计也防不住小人,吼吼!

安全就如同门锁一样,你需要方便,那么就会以牺牲安全性(直接开门迎客)来获取最大的方便;

同样,如果你想要安全(直接封死门栓),或许最安全地安全也把自己关在了门外。

所以,安全性需要考虑实际的应用场景,并结合实际用户的需求,提出切实可行的安全策略。

洗白白的事情,我记得360做过不少,这里不开黑他们,也不提倡不切实际的安全。

对于后续的MixPadS的其它事项,还有很多,我是没有多少时间来分析他们啦。。

当然,如果需要的话,或许会考虑新固件加固后的强攻,看看实际产品优化的程度有多少。

目前的固件,还是可以通过之前文章所述的模拟POST提交的方式获取的,

详见下面链接:

通过模拟post在线提交获取ORVIBO MixPadS升级固件

https://leekwen.blog.csdn.net/article/details/109599318

虽然屏蔽了对应隐藏后门入口的三种方式中的前两种(高级模式和工程模式),

具体的内容,之前有写,详见以下地址:

MixPad S超级智能开关产品的三种隐藏模式及其进入方法

https://leekwen.blog.csdn.net/article/details/109091731

对他们的产品的安全性也是一个很大的提升啊!

哈哈,你家的面板更安全了,这里也有我的一份力量!

Leekwen
关注
mixpad_genius_app_linux OTA升级文件分析
LeeKwen的专栏
10-16 683
概述 今日mixpad 精灵款推送了最新的OTA升级文件, 然而,此升级文件已经可以通过链接可以自由下载了! 设备升级页面 设备的升级页面如下: 升级固件简要说明 【精灵正式版】兼容单火/零火精灵,合并5.3.2、5.3.3代码。 修复BUG: 1、MixPad精灵被365删除后,频繁上报数据,导致服务器压力大问题; 2、特定情况下,MixPad精灵自带遥控器出现异常时,崩溃问题。 最新升级文件 HomeAI_OS_5.3.6.307_MixPadGenius_OTA_20...
MixPad S超级智能开关产品的三种隐藏模式及其进入方法
LeeKwen的专栏
10-15 1905
概述 上次讲到了此设备的破解分析,此出讲一下设备本身的三种隐藏模式: 第一种:高级配置模式,主要用于设备分析调试 第二种:工程模式,主要用于工厂的出厂测试及设备老化 工厂模式下的截图如下: 最终的结果如下图: 老化模式下的截图如下: 第三种:就是配置模式,用于安装时,调整UI的显示方向 安装方向的图示: 选择纵向: 纵向界面如下: 选择右横向:
欧瑞博MixPad智能开关支持6000余种家电类型,大V楼斌权威测评
cnmjwz的博客
08-20 3415
如今智能开关已经成为很多家庭的标配设备,不过在使用这种开关的过程中,很多人士都发现这样一个问题,虽然它们对某些现代化的智能家电可以很完美地支持,但对于那些老式电器来说就不那么友好了。近期,在全网有着较高人气的科技达人楼斌在对欧瑞博MixPad超级智能开关测评的过程中,就提到了这个问题,与竞品相比,MixPad的设计非常人性化,可以很好地支持老家电的智能化控制。 测评的开篇,楼斌的一席话让大家对智能开关这类产品有了深刻的认知,他说开关虽然毫不起眼,但是它却在居家生活中扮演着非常重要的角色,目前厂商不约而同地
DJ Mix Pads 2 - Remix Version for Mac(独特DJ混音创作软件)
Mac_mimi的博客
01-08 476
如何制作出你心仪的dj音乐?DJ Mix Pads 2-Remix版本可以帮到你,DJ Mix Pads 2 - Remix Version Mac是一款独特DJ混音创作软件,其中包含制作节拍所需的一切,为您的曲目增添趣味。 DJ Mix Pads 2 - Remix Version Mac安装教程 安装包下载完成后打开,双击.pkg按照安装引导器进行安装即可! DJ Mix Pads 2 - Remix Version版软件功能 CREATE轨道而无需特殊技能 声卡各种节拍 专业音效 自定义声音MIC
Orvibo厂商MixPad S的三个核心APP
11-24
Orvibo厂商MixPad S的三个核心APP,包括: 1、mixpad.apk    -------MixPad S的UI界面的APK 2、mix_intertalk.apk  -------可视对讲、webrtc都在这个APK里。 3、mixpad_voice.apk   ------语音识别部分的apk,其中也支持离线语音的识别 此APP从硬件中提取出来的,只用于研究使用,请勿它用,谢谢,如有侵权,请告知本人,删除!
剖析ORVIBO MixPadS升级固件脚本
LeeKwen的专栏
11-10 901
概述 上一篇讲到通过模拟post请求获取ORVIBO MixPadS的升级固件,并提供了具体的方法和固件的url下载地址, 感兴趣的朋友可以移步此链接: 通过模拟post在线提交获取ORVIBO MixPadS升级固件 https://mp.csdn.net/console/editor/html/109599318 剖析固件结构 下面重点剖析下此固件的内容及结构: [root@localhost MixpadAllin-vihome]# ls -lht total 24K drwxrwxr
通过模拟post在线提交获取ORVIBO MixPadS升级固件
LeeKwen的专栏
11-10 833
概要 以手头的MixPadS为例,通过模拟提交请求获取ORVIBO的升级固件,获取固件后,解析此固件的整个目录结构及实现方法。 获取升级固件 Post 代码如下:( nodejs 代码) var http=require('http'); var post_data={ "uid":"3918816836384f719ea5051b89269967", "firmwares":[ {"type":0, "modelId":"MixpadHos...
关于ORVIBO MixPad S的日志分析及信息泄露
LeeKwen的专栏
11-23 701
概述 关于ORVIBO MixPad S 之前写过一些内容,但是整体上没有进行系统分析。 如果有硬件的朋友,按照上述的方式能够进入到系统中; 对于没有硬件在手的朋友来说,分析相对较困难,但可以通过分析固件的方式来分析系统; 后续会将从 MixPad S硬件中提取的三个关键APP,发布出来,以供大家分析; 日志系统分析 今天就将一下MixPadS的日志系统。 日志,顾名思义就是记录每日的运行情况的信息,可用于分析设备的运行情况,系统的稳定性,软件的bug,错误信息, 甚至从中可以分析出不同用户
已被修复的ORVIBO日志文件泄露问题后,所发布的分析文章
LeeKwen的专栏
12-01 405
继,上次关于ORVIBO MixPad S的日志分析及信息泄露的问题,当时没有发布,只是给了他们时间去修复, 目前已经修复,那么分析的文章就发布以下吧, 修复之前所发布的文章名为下面所述,具体见下面链接: 关于ORVIBO MixPad S的日志分析及信息泄露 https://leekwen.blog.csdn.net/article/details/110001036 FTP上面的每一个包的内部都包含下面所述的信息,此问题已经于发布日志的当天晚上23点被修复, 所以,在此公开说明日志的内容,已
针对小度在家的设备分析(以1C为例,非破解)
热门推荐
LeeKwen的专栏
08-01 8万+
概述 语音类的机器人已经接触和分析了很多了,但百度出的类似产品没有写过! 主要是没有机会接触到实体的机器,大写的尴尬。 因对接的需要,特申请了一台,那就借此机会把玩一下吧。 拆机的部分请移步他处,给你个火箭,点击链接直达! 小度在家的拆解过程,见如下的地址: http://www.52audio.com/archives/3290.html 但,实际我拿到的1C设备,不是上面型号的机...
MixPad精灵(触屏语音开关)进行解剖分析
LeeKwen的专栏
09-28 3215
概述 最近有点忙,已经很久没有更新文章了,对不起各位网友啦~ 这次对ORVIBO的新产品:MixPad精灵款的来个剖析,希望对大家有所帮助! 首先,我买了一台对应的设备,直接去官网采购,价格吗还算OK,400多的价格。 拆箱的过程我就不写了,简单的上个图就行了。 一、拆包: 主屏板包装盒(顶部): 主屏板包装盒(底部): 后盖电源部分无内容,我就不拍了,给CSDN空间省点存储位置。 二、设备剖析开始 接下来,我们开始对设备进行剖析,步骤如下: 1、拆掉主屏板后盖板,...
攻克了Orvibo厂商MixPad S的调试密码
LeeKwen的专栏
10-14 1971
上个篇章将了MixPad S的三种隐藏模式,在工程师调试的高级模式下,有一个开启WIFI ADB调试的密码,一旦此密码开启, 那么势必能够通过网络内部进入此设备,设备本身也开启su权限,那么用户可以安装对应的远程登录程序, MixPad S的安全性也就不复存在了。 刚刚拿到了此密码,登录后,通过局域网内部的adb连接到此设备内部,adb的端口为5055; 代码摘录: public static void enableADBWifi() { RootCmd.setADBPo
最新上市的ORVIBO Mixpad精灵款再遭破解
LeeKwen的专栏
09-30 2094
目录 目录 概述 一、硬件配置方面 二、软件系统方面 三、整体安全性 四、事态严重性 五、整体事情的波及面 概述 继上次剖析完新款的精灵博文后,我对精灵这款硬件也实际使用了几天,除了会发热外,暂无发现槽点。 而这篇文章《对MixPad精灵(触屏语音开关)进行解剖分析》实际上是为了凑字数,而发了一篇水文。 然而,从安全性上来看,此款设备的安全性较高于其他硬件,以至于我没办法写以下的文章啦,做为CEO,CTO们是不是应该高兴一番!为了凑够这篇文章的字数,并...
小琳AI课堂:确保大语言模型安全的八大策略--从数据隐私到用户教育
wx740851326的博客
09-15 444
首先,我们要明白,保证大语言模型的安全,需要从多个方面入手,确保模型在技术、法律、伦理和社会层面都得到妥善处理。大家好,这里是小琳AI课堂。今天我们深入探讨如何保证大语言模型的安全,这可是关系到我们每个人哦!
深入剖析Docker容器安全:挑战与应对策略
qq_39241682的博客
09-18 991
Docker容器通过操作系统级虚拟化实现应用的隔离,这种方式与传统虚拟机不同,容器共享宿主机的内核。这种架构虽然简化了部署和资源利用,但也引入了安全隐患,特别是当容器与宿主机共享内核时,容器内部的漏洞可能会影响到整个系统。
【农信网-注册/登录安全分析报告】
09-16 1518
北京农信互联科技集团有限公司是一家农业互联网高科技企业,以“用互联网改变农业”为使命,致力于构建最有影响力的农业数智生态平台,推动中国农业数字化转型升级。作为农业互联网领域的“独角兽”企业, 技术实力也应该不错,但采用的还是老一代的图形验证码已经落伍了, 用户体验一般,容易被破解, 一旦被国际黑客发起攻击,将会对老百姓形成骚扰,影响声誉。很多人在短信服务刚开始建设的阶段,可能不会在安全方面考虑太多,理由有很多。比如:“需求这么赶,当然是先实现功能啊”,“业务量很小啦,系统就这么点人用,不怕的。
无限边界:现代整合安全如何保护云
网络研究观
09-15 1087
通过工具之间更有效的数据共享,整合的安全平台还应提供更紧密的安全集成以及更强的系统可视性(无论是在云端还是在本地),让您能够看到无限周界的边缘。
Dependency Check:一款针对应用程序依赖组件的安全检测工具
最新发布
FreeBuf_的博客
09-19 1869
Dependency-Check 是一款软件组合分析 (SCA) 工具,可尝试检测项目依赖项中包含的公开披露的漏洞。
第160天:安全开发-Python-蓝队项目&流量攻击分析&文件动态监控&Webshell检测
weixin_71529930的博客
09-19 423
本来后续上传的文件,可以调用api接口上传到威胁分析平台进行分析是否有害,根据分析返回的结果,来判断是否进行删除,但是百度免费的网站已经停掉了,virustotal免费的api坏掉了,别的免费的不好用,收费的买不起……首先先把tcp中传入的payload包,以一行一行的格式进行输出,因为http肯定是tcp层协议。通过写一个列表把最常见的字符串以byte格式写入,每一行进行循环,判断这段字符串是否在这一行中。该项目就不过多进行介绍了,这里被创建,删除也会提示修改,所以我只显示增加,删除,
运维工程师面试整理-安全常见安全漏洞及修复
不务正业的猿
09-19 349
暴露在互联网的服务和端口可能会成为攻击者的目标,例如开放的SSH、FTP、Telnet等。:攻击者通过注入恶意脚本,使其在其他用户的浏览器中执行,从而窃取用户信息或劫持用户会话。:通过插入恶意SQL代码,攻击者可以操纵应用程序的数据库查询,执行未授权的数据库操作。:展示你对新兴安全威胁和防护技术的了解和学习能力,如零信任架构、基于AI的安全分析等。在不同的服务器或沙盒环境中处理和存储上传的文件,避免在Web根目录下保存可执行文件。采用安全框架和标准(如OWASP、NIST),确保系统和应用的安全合规性。
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Leekwen

您的鼓励,是我坚持更新的动力!

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值