我们现在谈的是闭路摄像装置的远程控制
安全专家们再次对曾制造大量易受Mirai感染的摄像设备的雄迈公司感到担忧。
该设备商生产的部分摄像设备的2017超级权限**似乎已经泄露到了网上,而这些**本来仅用于用户安装闭路摄像设备。
英国安全咨询公司Pen Test Partners(PTP)的主管肯·芒罗对媒体表示:“如果我们的猜测确有其事,这些**完全可以远程控制特定摄像系统。过程类似 Mirai感染,结果则是闭路监控系统被远程控制。”
PTP公司在尼日利亚的一个闭路电视程序页面发现了泄露的**表。这份**表包含了2017全年的登录凭证,实质上是摄像服务的每日的、一次性的**本。而一次性**本只有在完全控制流通渠道、非重复使用前提下才会有效。
安全公司F-Secure的首席风险官米克·希伯能最近也在网上其他地方发现了这一文件。
这份文件涉及XMEye,后者是ZY Security为远程连接摄像视频数据提供的云服务。芒罗说:“该服务只提供给中国内销的特定型号的摄像设备,我们还未定性这些登录凭证,但这无疑是对雄迈公司的又一次大打击。”
一些私人社区或供应商辩称他们的设备仅仅用于局域网,但是这份文件显示它们会用于网络服务。被涉厂商没有公开确认问题,而只在私下里承认犯错。PTP公司拟定从中国引入一台摄像设备来透析此问题,但是错误显然已经酿成。
芒罗说:“和用户分享权限账户凭证,而又指望他们保密简直是异想天开。”
PTP公司在对闭路系统摄像设备安全的长期研究中发现了这份泄露**表。芒罗表示PTP公司已经发现了其他一些类似的录像设备上也有隐藏的超级权限。
雄迈公司的产品包括安全监控系统、闭路电视及相关摄像设备的元件(主板、网络模块等)。
作者:Alfred.N
来源:51CTO