超過50,000個嬰兒監視器被爆漏洞，供應商：假裝沒聽到

黑客入侵嬰兒監視器並不是什麼新鮮事。

最近，奧地利安全諮詢公司（SEC Consult）的研究人員發現了 Mi-Cam 嬰兒監視器中一組關鍵漏洞，超過52,000個嬰兒監視器和用戶帳戶易受到攻擊。利用這些漏洞，攻擊者可以任意訪問這些設備，並在沒有進行身份認證的情況下打開一個視頻流監視兒童。

Mi-Cam 嬰兒監視器由中國 MiSafes 公司製造，其配備有網路視頻監控系統以及720P高清攝像頭，父母可通過 Android 和 iOS 設備連接監視器看護孩子。

研究人員表示，這組漏洞主要有六個，其中一個是攻擊者可使用代理伺服器來攔截監視器和智能手機之間的通信，而不需要客戶端SSL證書或密碼。

另一個漏洞來自設備的忘記密碼功能，Mi-Cam允許用戶重置密碼，為了驗證用戶其會在註冊時向客戶使用的電子郵件地址發送一個6位驗證密鑰。對於黑客來說，破解客戶的賬戶並獲取密鑰輕而易舉。

此外，其中一個漏洞能讓攻擊者提取固件，以此確認保密效果非常弱的四位數默認密碼。

研究人員表示，這些嬰兒監視器中使用的軟體已經過時，並且存有不少廣為人知的漏洞。自2017年12月以來 SEC Consult 多次通知 MiSafes 設備安全性問題，但該公司未做出任何回應。

視頻展示漏洞工作原理，地址：https://m.youtube.com/watch?feature=youtu.be&v=SsYnXRUhpL0

雷鋒網 VIA HackRead

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！