小米攝像機(jī)安全危機(jī)發(fā)酵:高危漏洞不止一個(gè)

2015/02/04 17:18     

昨日,小米攝像機(jī)被曝光存在遠(yuǎn)程命令漏洞,可能危害到家庭的隱私及公共安全。小蟻科技(小米攝像機(jī)開發(fā)廠商)方面雖然已就此事發(fā)表官方聲明,但是漏洞發(fā)現(xiàn)者360攻防實(shí)驗(yàn)室再度回應(yīng),對小米攝像機(jī)理解錯(cuò)誤的漏洞細(xì)節(jié)和新版本中的新漏洞做了具體分析。

圖:360攻防實(shí)驗(yàn)室對小蟻公司的聲明作出回應(yīng)

圖:360攻防實(shí)驗(yàn)室對小蟻公司的聲明作出回應(yīng)

據(jù)悉,2月2日晚間,360攻防實(shí)驗(yàn)室發(fā)布漏洞報(bào)告稱小米攝像機(jī)應(yīng)用管理程序存在遠(yuǎn)程執(zhí)行命令,無需任何web權(quán)限即可可以通過web界面以root權(quán)限執(zhí)行任意系統(tǒng)命令。簡單來說,攻擊者可以通過該漏洞,無需用戶名、口令等認(rèn)證方式,遠(yuǎn)程控制小米攝像機(jī),瀏覽視頻信息。如果點(diǎn)擊黑客惡意構(gòu)造的鏈接地址,黑客還可以盜走WIFI密碼。這嚴(yán)重危害到家庭的隱私及公共安全。同時(shí)可以利用小米攝像機(jī)對路由器進(jìn)行關(guān)聯(lián)操作,攻擊家庭內(nèi)網(wǎng)其它智能設(shè)備。

針對這份漏洞報(bào)告,小米攝像機(jī)的生產(chǎn)方小蟻科技發(fā)表官方聲明稱,小米攝像頭在網(wǎng)絡(luò)層面采用動(dòng)態(tài)隨機(jī)密碼機(jī)制,報(bào)告中提到的漏洞確實(shí)存在,但僅在早起版本中存在,建議廣大用戶盡快升級(jí)。

隨后,360安全播報(bào)中心對該聲明進(jìn)行分析解讀稱,無需通過破解密碼即可控制低版本的小米攝像機(jī),并且發(fā)現(xiàn)最新版本中存在另一個(gè)高危的遠(yuǎn)程命令執(zhí)行漏洞,現(xiàn)已通報(bào)至小米安全中心。該漏洞的本質(zhì)是:1、小米路由器訪客模式是沒有進(jìn)行VLAN隔離或者用戶隔離,能夠直接訪問到局域網(wǎng)其它設(shè)備。2、小蟻路由器的應(yīng)用程序無需賬號(hào)驗(yàn)證,直接可訪問wifi配置文件,查看wifi密碼。

近年來,網(wǎng)絡(luò)安全的重要性日益凸顯,隱私泄露事件時(shí)有發(fā)生,面對漏洞威脅和黑客攻擊,安全廠商和網(wǎng)絡(luò)公司均有義務(wù)進(jìn)行通報(bào)和預(yù)警提示,并及時(shí)對漏洞進(jìn)行分析,并研究防護(hù)的策略。在聲明的最后,360安全播報(bào)平臺(tái)建議,包括小米在內(nèi)的所有廠商都能重視漏洞報(bào)告,并及時(shí)提示用戶進(jìn)行安全更新。

相關(guān)閱讀