到此,由于时间原因,关于MixPadS的话题先告一个段落吧!
只是想说一下,从一个硬件设备到个人信息泄露的整个链条中,安全性到底哪里出了问题?
由一个硬件的漏洞,到提取软件固件,从软件固件分析出对应的漏洞,从软件漏洞获取实际设备的控制权限,整整一套的处理逻辑,
完全符合看雪论坛里的一个典型的本色话题!
当然,如果是看雪论坛的“段钢”大哥大,估计会延申地更远,且暂且不论到底影响有多大,
但毕竟说明一点,安全性是件大事!
所以,还是那句话, 问题到底出在了哪里?
是MixPadS本身,还是ORVIBO研发工程师自己的疏忽,抑或是我这个好事者!
在中国高手有很多,而我们需要防止的不是全部的人,而是那些即使高手却又是小人的人,
抑或一句概况:目前的产品,只能是,防君子不防小人,估计也防不住小人,吼吼!
安全就如同门锁一样,你需要方便,那么就会以牺牲安全性(直接开门迎客)来获取最大的方便;
同样,如果你想要安全(直接封死门栓),或许最安全地安全也把自己关在了门外。
所以,安全性需要考虑实际的应用场景,并结合实际用户的需求,提出切实可行的安全策略。
洗白白的事情,我记得360做过不少,这里不开黑他们,也不提倡不切实际的安全。
对于后续的MixPadS的其它事项,还有很多,我是没有多少时间来分析他们啦。。
当然,如果需要的话,或许会考虑新固件加固后的强攻,看看实际产品优化的程度有多少。
目前的固件,还是可以通过之前文章所述的模拟POST提交的方式获取的,
详见下面链接:
通过模拟post在线提交获取ORVIBO MixPadS升级固件
https://leekwen.blog.csdn.net/article/details/109599318
虽然屏蔽了对应隐藏后门入口的三种方式中的前两种(高级模式和工程模式),
具体的内容,之前有写,详见以下地址:
MixPad S超级智能开关产品的三种隐藏模式及其进入方法
https://leekwen.blog.csdn.net/article/details/109091731
对他们的产品的安全性也是一个很大的提升啊!
哈哈,你家的面板更安全了,这里也有我的一份力量!