[置顶]海康威视摄像头、DVR账户远程劫持漏洞
海康威视于上个月修复了一个高危漏洞,该漏洞影响摄像头、DVR及相关账户。
很多人用安全摄像头都不带改默认管理员用户名和口令的——意味着只要知道去看哪儿,这些人的生活就是一场持续的现场直播。尽管海康威视在2017年1月引入了Hik-Connect云服务,但安全问题依然存在。
2017年5月,美国ICS-CERT就海康威视摄像头可被轻易远程利用的漏洞发布了咨询意见。同年晚些时候,海康威视网络摄像头漏洞利用细节被公布后,一些用户在屏幕上看到的是“HACKED(你被黑了)”字样而不是预想中的监控视频。
“萤石”有个功能:只要知道用户注册时所用邮箱或电话,就可在无需该用户同意的情况下将其添加为好友。
悄悄添加好友后,“被”好友用户的ID也就无所遁形了。Stykas写道:“于是,只要有邮箱、手机或用户名,我们就能以别人的身份登录,冒充他/她。”
- 查看用户的设备、实时视频和回放。
- 修改用户的邮箱地址、电话号码和口令,让用户无法访问自己的设备。
- 重置口令后接管用户的账户,这样即便用户恢复出厂设置也无法在不联系海康威视的情况下将攻击者的账户解除绑定。Stykas称,“只要修改口令,就可以使用Hik-connect安卓App上的设备菜单,不用口令都可以管理设备(更新固件让设备变成板砖一块等等各种操作都可以)。”
- 在账户上添加共享,默默同步欣赏受害用户设备上的画面。
该漏洞的发现者并不清楚到底有多少台摄像头被注册了:
如果你是开发人员,千万别信任来自用户的任何东西。过滤、检查、清洗掉所有外部输入。
如果你是终端用户,请保持设备更新,并通过网络分隔限制你的IoT设备。
这个漏洞就是个典型的例子,反映了本应提供额外安全特性(不用端口转发,也没有在互联网上暴露IoT)的服务是怎么被人轻易反杀的。除了只用大品牌产品或根本不用这些设备,我们没有别的办法防止此类攻击。大品牌当然也可能有问题,但其监管更好,也会对漏洞做出响应而不是直接无视。
文章摘自:安全牛
官方
1.36K篇文章
74.86M总阅读量
