TY - JOUR A2 - Liu, Ximeng AU - Wang, Dong AU - Zhang, Xiaosong AU - Ming, Jiang AU - Chen, Ting AU - Wang, Chao AU - Niu, Weina PY - 2018 DA - 2018/07/04 TI - reset Your Password Is Vulnerable:重置密码易受攻击AB -固件漏洞是物联网攻击的一个重要目标，但它具有挑战性，因为固件可能是公开不可用或加密的未知密钥。本文提出了一种针对短消息服务(SMS)认证代码的攻击，目的是在不进行固件分析的情况下获得对物联网设备的控制。其关键思想是基于这样一种观察，即物联网设备通常有一个官方应用程序(简称app)用于控制自身。用户在使用这个应用程序之前需要注册一个帐户，通常建议使用电话号码作为帐户名称，而且这些应用程序大多有一个共同的功能，叫 重置你的密码该系统在客户忘记密码时，使用短信验证码发送到客户的手机，对客户进行验证。我们发现攻击者可以通过克服多个挑战，自动对该短信认证码进行蛮力攻击，然后窃取该账户，获得物联网设备的控制权。在我们的研究中，我们实现了一个原型工具，叫做 SACIntruder，以便在物联网设备上自动执行这种蛮力攻击测试。通过评估，我们成功发现了智能锁、共享汽车、智能手表、智能路由器等12个零日漏洞。我们还讨论了如何防止这次袭击。SN - 1530-8669 UR - https://doi.org/10.1155/2018/7849065 DO - 10.1155/2018/7849065 JF -无线通信和移动计算PB - Hindawi KW - ER -