新闻快讯
< >

超过50000个婴儿监视器被爆漏洞,供应商:假装没听到

黑客入侵婴儿监视器并不是什么新鲜事。最近,奥地利安全咨询公司(SEC Consult)的研究人员发现了 Mi-Cam 婴儿监视器中一组关键漏洞,超过52,000个婴儿监视器和用户帐户易受到攻击。利用这些漏洞,攻击者可以任意访问这些设备,并在没有进行身份认证的情况下打开一个视频流监视儿童。

超过50000个婴儿监视器被爆漏洞,供应商:假装没听到-E安全

Mi-Cam 婴儿监视器由中国 MiSafes 公司制造,其配备有网络视频监控系统以及720P高清摄像头,父母可通过 Android 和 iOS 设备连接监视器看护孩子。

超过50000个婴儿监视器被爆漏洞,供应商:假装没听到-E安全

超过50000个婴儿监视器被爆漏洞,供应商:假装没听到-E安全

研究人员表示,这组漏洞主要有六个,其中一个是攻击者可使用代理来拦截监视器和智能手机之间的通信,而不需要客户端SSL证书或密码。

另一个漏洞来自设备的忘记密码功能,Mi-Cam允许用户重置密码,为了验证用户其会在注册时向客户使用的电子邮件地址发送一个6位验证密钥。对于黑客来说,破解客户的账户并获取密钥轻而易举。

此外,其中一个漏洞能让攻击者提取固件,以此确认保密效果非常弱的四位数默认密码。

研究人员表示,这些婴儿监视器中使用的软件已经过时,并且存有不少广为人知的漏洞。自2017年12月以来 SEC Consult 多次通知 MiSafes 设备安全性问题,但该公司未做出任何回应。

视频展示漏洞工作原理,地址:https://m.youtube.com/watch?feature=youtu.be&v=SsYnXRUhpL0