我們現(xiàn)在談的是閉路攝像裝置的遠(yuǎn)程控制
安全專家們再次對曾制造大量易受Mirai感染的攝像設(shè)備的雄邁公司感到擔(dān)憂。
該設(shè)備商生產(chǎn)的部分?jǐn)z像設(shè)備的2017超級權(quán)限密鑰似乎已經(jīng)泄露到了網(wǎng)上,而這些密鑰本來僅用于用戶安裝閉路攝像設(shè)備。
英國安全咨詢公司Pen Test Partners(PTP)的主管肯·芒羅對媒體表示:“如果我們的猜測確有其事,這些密鑰完全可以遠(yuǎn)程控制特定攝像系統(tǒng)。過程類似 Mirai感染,結(jié)果則是閉路監(jiān)控系統(tǒng)被遠(yuǎn)程控制。”
PTP公司在尼日利亞的一個(gè)閉路電視程序頁面發(fā)現(xiàn)了泄露的密鑰表。這份密鑰表包含了2017全年的登錄憑證,實(shí)質(zhì)上是攝像服務(wù)的每日的、一次性的密鑰本。而一次性密鑰本只有在完全控制流通渠道、非重復(fù)使用前提下才會(huì)有效。
安全公司F-Secure的首席風(fēng)險(xiǎn)官米克·希伯能最近也在網(wǎng)上其他地方發(fā)現(xiàn)了這一文件。
這份文件涉及XMEye,后者是ZY Security為遠(yuǎn)程連接攝像視頻數(shù)據(jù)提供的云服務(wù)。芒羅說:“該服務(wù)只提供給中國內(nèi)銷的特定型號的攝像設(shè)備,我們還未定性這些登錄憑證,但這無疑是對雄邁公司的又一次大打擊。”
一些私人社區(qū)或供應(yīng)商辯稱他們的設(shè)備僅僅用于局域網(wǎng),但是這份文件顯示它們會(huì)用于網(wǎng)絡(luò)服務(wù)。被涉廠商沒有公開確認(rèn)問題,而只在私下里承認(rèn)犯錯(cuò)。PTP公司擬定從中國引入一臺攝像設(shè)備來透析此問題,但是錯(cuò)誤顯然已經(jīng)釀成。
芒羅說:“和用戶分享權(quán)限賬戶憑證,而又指望他們保密簡直是異想天開。”
PTP公司在對閉路系統(tǒng)攝像設(shè)備安全的長期研究中發(fā)現(xiàn)了這份泄露密鑰表。芒羅表示PTP公司已經(jīng)發(fā)現(xiàn)了其他一些類似的錄像設(shè)備上也有隱藏的超級權(quán)限。
雄邁公司的產(chǎn)品包括安全監(jiān)控系統(tǒng)、閉路電視及相關(guān)攝像設(shè)備的元件(主板、網(wǎng)絡(luò)模塊等)。
京公網(wǎng)安備 11010502049343號