0
0
0
从现在知道的信息来看,应该还是ARM架构,除了ARM也没什么适合移动端的新架构。
登录|注册
只要是连着互联网的设备,没有哪个敢保证自己固若金汤坚不可破,而更多人则选择逆来顺受放弃治疗,既然要享受便利,总得付出一定的安全代价。NAS也是同样的道理,西部数据My Cloud系列NAS这两天是被一帮黑客给捅得千疮百孔,还把伤疤公诸于众。
Exploitee.rs的一支安全团队在昨天公开了一组影响My Cloud全线产品的bug,这其中包括绕过登录、命令注入、未经允许的文件上传等等。bug的绝大部分都和低下的脚本质量相关,而所有经过网页管理界面执行的命令都拥有对NAS底层操作系统的完全访问权限,攻击者可以轻松地获取My Cloud NAS里任何他所感兴趣的信息。
更糟糕的是西部数据在安全社区内的名声不是太好,在去年的黑帽大会上西数还被评了Pwnie这个最容易被攻击者拿下的奖,主要因素不光是其NAS系统的薄弱,对于系统中这些漏洞的对策提供,西数的响应也是很迟钝且无力的——就比如这次的曝光,西数发布了一个补丁来修复绕过登录问题,结果却又引入了一个新的漏洞。
虽然干这行的俗成约定是先向厂商报告,等他们的补丁准备好了之后再考虑公布漏洞的信息,然而因为西数看上去似乎也没什么办法,安全团队无奈便把他们的发现公开,希望调动整个社区的资源来应对My Cloud NAS的问题,引起用户的注意,同时也鞭策西数拿出更好的解决方案。对用户来说,在完全修复漏洞的补丁公开之前,大家还是把My Cloud系列NAS老老实实封在内网里吧。
