安全性太差！中國一物聯網公司遭SEC點名批評！

又一家物聯網設備供應商被爆出現了基本的安全漏洞，讓攻擊者有機可趁。

這一次出現問題的是中國監控攝像機製造商雄邁，因其XMEye P2P雲服務的安全性較差而受到了美國證券交易委員會（SEC）研究人員的點名批評。其中，研究人員指出的問題包括暴露的默認憑證以及可通過該服務提供的無符號固件更新。

因此，美國證券交易委員會警告稱，這些漏洞可能會使攝像頭受到攻擊，從對其所有者展開間諜活動，到執行殭屍網路指令，甚至成為更大規模網路入侵的入口點。而針對這些漏洞，SEC表示，「我們的建議是完全停止使用雄邁和雄邁OEM設備。」

隨後，SEC補充道，「該公司的安全記錄很糟糕，此前在惡意軟體Mirai以及其他各種物聯網殭屍網路事件中都曾扮演過一定的角色，而且有些漏洞是在2017年就已公布的，但在最近的固件版本中仍未進行修復。」

默認情況下，P2P雲服務會允許用戶通過網頁瀏覽器或iOS / Android應用程序遠程連接到設備，無需本地網路連接就可控制硬體。但不幸的是，SEC解釋稱，設備本身和服務的漏洞，如未加密的連接和默認密碼（用戶在設置設備時不需要更改默認值）意味著在許多情況下，攻擊攝像頭是非常容易成功的。

此外，SEC還指出，雄邁設備不需要進行有符號固件更新，這意味著攻擊者可能會安裝帶有惡意軟體的固件更新來構建殭屍網路，或者對本地網路展開進一步攻擊。研究人員表示，「這可能是通過修改固件更新中所包含的文件系統或在固件更新文件中修改『InstallDesc』文件來實現的。」其中，InstallDesc是一個文本文件，包含著在更新期間執行的命令。

最重要的是，SEC指責雄邁無視安全警告，同時也沒有採取任何基本預防措施。

該部門聲稱雄邁不僅忽視了他們的最新警告，其糟糕的安全狀況還曾成為了臭名昭著的Mirai殭屍網路的「素材」。因此，在這種情況下，研究人員建議公司停止使用基於雄邁硬體的OEM硬體。

公開信息顯示， 杭州雄邁信息技術有限公司創立於2008年，是一家集安防視頻監控類產品研發、生產和銷售於一體的高科技企業，主要產品包括安全監控系統、閉路電視及相關攝像設備的元件(主板、網路模塊等)。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！