小米摄像机安全危机发酵:高危漏洞不止一个
东方联盟( www.vm888.com):小米摄像机安全危机发酵:高危漏洞不止一个
昨日,小米摄像机被曝光存在远程命令漏洞,可能危害到家庭的隐私及公共安全。小蚁科技(小米摄像机开发厂商)方面虽然已就此事发表官方声明,但是漏洞发现者360攻防实验室再度回应,对小米摄像机理解错误的漏洞细节和新版本中的新漏洞做了具体分析。
图:360攻防实验室对小蚁公司的声明作出回应
据悉,2月2日晚间,360攻防实验室发布漏洞报告称小米摄像机应用管理程序存在远程执行命令,无需任何web权限即可可以通过web界面以root权限执行任意系统命令。简单来说,攻击者可以通过该漏洞,无需用户名、口令等认证方式,远程控制小米摄像机,浏览视频信息。如果点击黑客恶意构造的链接地址,黑客还可以盗走WIFI密码。这严重危害到家庭的隐私及公共安全。同时可以利用小米摄像机对路由器进行关联操作,攻击家庭内网其它智能设备。
针对这份漏洞报告,小米摄像机的生产方小蚁科技发表官方声明称,小米摄像头在网络层面采用动态随机密码机制,报告中提到的漏洞确实存在,但仅在早起版本中存在,建议广大用户尽快升级。
随后,360安全播报中心对该声明进行分析解读称,无需通过破解密码即可控制低版本的小米摄像机,并且发现最新版本中存在另一个高危的远程命令执行漏洞,现已通报至小米安全中心。该漏洞的本质是:1、小米路由器访客模式是没有进行VLAN隔离或者用户隔离,能够直接访问到局域网其它设备。2、小蚁路由器的应用程序无需账号验证,直接可访问wifi配置文件,查看wifi密码。
近年来,网络安全的重要性日益凸显,隐私泄露事件时有发生,面对漏洞威胁和黑客攻击,安全厂商和网络公司均有义务进行通报和预警提示,并及时对漏洞进行分析,并研究防护的策略。在声明的最后,360安全播报平台建议,包括小米在内的所有厂商都能重视漏洞报告,并及时提示用户进行安全更新。
- 01-092023年的四大网络风险以及如何应对
- 01-09操作系统/虚拟化安全知识域:攻击者模型
- 01-09操作系统/虚拟化安全知识域:操作系统及其设计在安全中的作用
- 01-092022年全球勒索赎金TOP 10
- 03-06俄乌冲突快讯:乌克兰网站被攻击数量超十倍
- 02-23开放式银行创新:开发人员与网络犯罪分子之间的竞赛
- 02-23数据泄露后信息会怎样?
- 02-23四个首创 冬奥网络安全“黑科技”面面观
- 01-11全球最受赞誉公司揭晓:苹果连续九年第一
- 12-09罗伯特·莫里斯:让黑客真正变黑
- 12-09谁闯入了中国网络?揭秘美国绝密黑客小组TA
- 12-09警示:iOS6 惊现“闪退”BUG
- 11-18LG新能源宣布与Bear Robotics达成合作,成为
- 11-18机构:三季度全球个人智能音频设备市场强势
- 11-18闲鱼:注册用户过6亿 AI技术已应用于闲置交
- 11-18美柚、宝宝树回应“涉黄短信骚扰”:未发现
- 11-01京东七鲜与前置仓完成融合