三星SmartCam相機被曝存在十多個安全漏洞,智能相機變成間諜工具?
基於個人用戶對安全隱私方面的重視,越來越多的智能家庭攝像頭湧入市場,用戶們希望這些產品能夠對自己的家庭起到必要的監督和保護效果,然而並不理想,這些智能攝像頭實際上也有許多的安全漏洞。
上周,在卡巴斯基安全分析師峰會上,網路安全公司的研發人員稱通過調查安全設備製造商,韓華集團美國分部的安全攝像頭,表示已經發現了當這款安全攝像頭聯網時產生的13個脆弱的安全漏洞。
三星電子於2014年將其三星Techwin安全部門出售給韓國聯合企業韓華集團。然而,到目前為止韓華的SmartCam產品仍被命名為「三星」。
漏洞詳情
由於是使用HTTP進行的軟體更新,所以操作一般基於Web的用戶界面,以root許可權執行遠程代碼,拒絕服務(DoS)和暴力破解等攻擊,並且可以利用這些漏洞來攔截流量,繞過認證,強制對管理員帳戶進行攻擊。
專家已經確定了大約有2000個IP地址與暴露於互聯網的攝像機存在關聯,但他們認為,由於漏洞可以被利用,所以即使是不能直接從網路訪問的設備可能也會受到影響,因此實際的影響數量會比 SmartCam雲基礎架構上的更高。
另外,卡巴斯基發現的漏洞之一可以用於註冊尚未註冊的相機。 這不僅會阻止合法的所有者註冊使用相機,還會讓黑客控制已經註冊的相機。
由於雲基礎架構中存在漏洞,所以攻擊者可以偽造更新伺服器從而將惡意軟體推送到設備。專家表示,經過修改的固件可以為目標攝像機提供訪問許可權,以此作為網路設備的入口點。
卡巴斯基研究人員解釋說:「攻擊者可以利用密碼生成演算法中的漏洞重置密碼,並修改克隆相機的固件。然後禁用受害者相機的遠程設備。因此,受害者會收到來自攻擊者克隆相機發來的視頻信號」。
除了惡意軟體感染之外,這些攝像機還可用於加密貨幣挖掘,這是企業面臨的最大的新興安全威脅之一。
目前物聯網設備安全性應得到足夠的重視,四維創智在去年的XPwn 2017現場選取國內10款主流的NVR設備的測試結果和詳細數據進行公布。同時,現場對國外大廠商的NVR設備進行漏洞測試,均存在漏洞隱患。
物聯網安全根本問題在於客戶和供應商都錯誤地認為,如果將設備放置在網路中,並在路由器的幫助下將設備與更廣泛的互聯網分開,將解決大多數安全問題,至少可以大大降低現有問題的嚴重程度,「Dashchenko在發布中表示。 「在許多情況下,在利用目標網路內部設備的安全問題之前,需要獲得對路由器的訪問許可權毋庸置疑。但是,研究表明我們所調查的攝像機只能通過雲服務與外部世界進行交流,而雲服務完全是脆弱的。「
針對家庭用戶更改默認密碼,定期進行密碼更新。同時,有關已發現和修補漏洞的信息通常可以在線獲得,並且通常很容易找到,要密切關注連接設備的安全問題。
TAG:四維創智 |