Fredi Wi-Fi婴儿监视器中的漏洞可被利用来将其用作间谍摄像机

  • A+
所属分类:网络安全新闻
阿里


推广者专属福利,新客户无门槛领取总价值高达2775元代金券,每种代金券限量500张,先到先得。

Fredi Wi-Fi婴儿监视器中的漏洞可能被未经身份验证的远程攻击者利用来控制它并监视家人。

SEC Consult的安全研究人员 报告发现,Fredi Wi-Fi婴儿监视器中的漏洞可能被未经身份验证的远程攻击者利用来控制它并监视家庭。

Fredi Wi-Fi婴儿监视器中的漏洞可被利用来将其用作间谍摄像机

许多商业监控产品利用默认启用的“P2P云”功能。每个设备都连接到云服务器基础架构并保持此连接。移动设备和桌面应用程序可以通过云连接到相机。

这种架构使用户能够更轻松地与摄像机进行交互,路由器上不需要防火墙规则,端口转发规则或DDNS设置。但研究人员强调这种方法存在许多安全缺陷:

云服务器提供商获取 所有数据 (例如,查看的视频流)。
开放问题:谁运行这些服务器?他们在哪里?他们是否遵守当地管辖权,例如 欧盟GDPR?
如果数据连接没有正确加密,任何可以拦截连接的人都能够监视 所有交换的数据 。
“P2P云”功能 绕过防火墙, 并有效地允许 远程连接到专用网络。现在,攻击者不仅可以攻击有意/无意暴露于网络的设备(经典的“Shodan黑客”或Mirai方法),而且还可以通过“P2P云”暴露大量设备。
专家们发现,P2P服务可以直接连接到云端,并且可以使用不超过8位数的设备编号和共享的默认密码进行访问。

这意味着每个访问在线门户的人都可以使用默认密码输入随机数字来查看摄像头源。

“不幸的是,设备ID看起来不太安全,” 研究人员发表的这篇文章写道。

“此外,默认密码既不是随机生成的,也不是特定于设备的。除非用户将密码更改为安全密码,否则任何人都可以通过“尝试”不同的云ID来登录并与摄像机交互。“

SEC Consult的研究人员补充说,不安全的Fredi Wi-Fi婴儿监视器也可能被黑客用作家庭网络的入口点。

“'P2P云'功能绕过防火墙,并有效地允许远程连接到专用网络。现在,攻击者不仅可以攻击有意/无意暴露于网络的设备(经典的“Shodan黑客”或Mirai方法),而且还可以通过“P2P云”暴露大量设备。“报告继续报道。

问题仅限于Fredi Wi-Fi婴儿监视器吗?

不幸的是,没有,因为为Fredi婴儿监视器提供固件的中国公司开发了用于许多其他设备的通用相机控制应用程序。

“很明显,该设备和云服务不符合GDPR标准。” 专家们总结道。

“看起来,具有不透明供应链的消费电子产品,搭配不安全的内置云功能,这些功能默认会使我们在未来忙碌起来,”

这些专家还发布了IoC,以在基础设施中使用Gwelltimes“Cloud-Links”平台检测设备的存在。

CE安全网

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: