近日,国内权威安全平台360攻防实验室发布漏洞报告,小米公司智能硬件产品——小蚁摄像机存在高危漏洞,无须密码也能远程控制,严重危害用户隐私安全。
该报告称,小蚁摄像机应用管理程序存在远程命令执行漏洞,可以通过web界面以root权限执行任意系统命令(无需任何web权限),攻击者可以通过该漏洞,无需用户名、口令等认证方式,远程控制小蚁摄像头,浏览视频信息。如果点击黑客恶意构造的链接地址,黑客还可以盗走wifi密码,严重危害到家庭的隐私及公共安全。同时可以利用小蚁摄像头对路由器进行关联操作,攻击家庭内网其它智能设备。
图:小蚁摄像头被爆存在高危漏洞
对于小蚁摄像机存在的安全漏洞,“小蚁科技”在今日下午发表官方声明称,小蚁摄像头确实存在远程执行的漏洞,目前升级的新版本已经解决了这个问题。对于存在漏洞这个事件,小米董事长兼ceo雷军也转发了“小蚁科技”的声明,表示欢迎网友监督。
不过,360网络攻防实验室随后表示,小蚁摄像机的最新版本存在另一个高危的远程命令执行漏洞细节,已在2月2日通报给小米安全中心。
业内人士认为,智能摄像头产品对安全性的要求较高,虽然小米发布声明将此漏洞报告称为友商所为,但是正视自身产品的安全问题,保护用户的利益才是当下之急。