昨日,小米摄像机被曝光存在远程命令漏洞,可能危害到家庭的隐私及公共安全。小蚁科技(小米摄像机开发厂商)方面虽然已就此事发表官方声明,但是漏洞发现者360攻防实验室再度回应,对小米摄像机理解错误的漏洞细节和新版本中的新漏洞做了具体分析。
图:360攻防实验室对小蚁公司的声明作出回应
据悉,2月2日晚间,360攻防实验室发布漏洞报告称小米摄像机应用管理程序存在远程执行命令,无需任何web权限即可可以通过web界面以root权限执行任意系统命令。简单来说,攻击者可以通过该漏洞,无需用户名、口令等认证方式,远程控制小米摄像机,浏览视频信息。如果点击黑客恶意构造的链接地址,黑客还可以盗走WIFI密码。这严重危害到家庭的隐私及公共安全。同时可以利用小米摄像机对路由器进行关联操作,攻击家庭内网其它智能设备。
针对这份漏洞报告,小米摄像机的生产方小蚁科技发表官方声明称,小米摄像头在网络层面采用动态随机密码机制,报告中提到的漏洞确实存在,但仅在早起版本中存在,建议广大用户尽快升级。
随后,360安全播报中心对该声明进行分析解读称,无需通过破解密码即可控制低版本的小米摄像机,并且发现最新版本中存在另一个高危的远程命令执行漏洞,现已通报至小米安全中心。该漏洞的本质是:1、小米路由器访客模式是没有进行VLAN隔离或者用户隔离,能够直接访问到局域网其它设备。2、小蚁路由器的应用程序无需账号验证,直接可访问wifi配置文件,查看wifi密码。
近年来,网络安全的重要性日益凸显,隐私泄露事件时有发生,面对漏洞威胁和黑客攻击,安全厂商和网络公司均有义务进行通报和预警提示,并及时对漏洞进行分析,并研究防护的策略。在声明的最后,360安全播报平台建议,包括小米在内的所有厂商都能重视漏洞报告,并及时提示用户进行安全更新。
原文转自:http://info.it.hc360.com/2015/02/041504806358.shtml