家用監視器Mi-Cam被曝多處漏洞
責編:mhshi |2018-02-22 10:24:05黑客入侵嬰兒監視器并不是什么新鮮事。最近,奧地利安全咨詢公司(SEC Consult)的研究人員發現了 Mi-Cam 嬰兒監視器中一組關鍵漏洞,超過52,000個嬰兒監視器和用戶帳戶易受到攻擊。利用這些漏洞,攻擊者可以任意訪問這些設備,并在沒有進行身份認證的情況下打開一個視頻流監視兒童。
Mi-Cam 嬰兒監視器由中國 MiSafes 公司制造,其配備有網絡視頻監控系統以及720P高清攝像頭,父母可通過 Android 和 iOS 設備連接監視器看護孩子。
研究人員表示,這組漏洞主要有六個,其中一個是攻擊者可使用代理服務器來攔截監視器和智能手機之間的通信,而不需要客戶端SSL證書或密碼。
另一個漏洞來自設備的忘記密碼功能,Mi-Cam允許用戶重置密碼,為了驗證用戶其會在注冊時向客戶使用的電子郵件地址發送一個6位驗證密鑰。對于黑客來說,破解客戶的賬戶并獲取密鑰輕而易舉。
此外,其中一個漏洞能讓攻擊者提取固件,以此確認保密效果非常弱的四位數默認密碼。
研究人員表示,這些嬰兒監視器中使用的軟件已經過時,并且存有不少廣為人知的漏洞。自2017年12月以來 SEC Consult 多次通知 MiSafes 設備安全性問題,但該公司未做出任何回應。
視頻展示漏洞工作原理,地址:https://m.youtube.com/watch?feature=youtu.be&v=SsYnXRUhpL0