黑客入侵嬰兒監(jiān)視器并不是什么新鮮事。

最近，奧地利安全咨詢公司（SEC Consult）的研究人員發(fā)現(xiàn)了 Mi-Cam 嬰兒監(jiān)視器中一組關(guān)鍵漏洞，超過52,000個(gè)嬰兒監(jiān)視器和用戶帳戶易受到攻擊。利用這些漏洞，攻擊者可以任意訪問這些設(shè)備，并在沒有進(jìn)行身份認(rèn)證的情況下打開一個(gè)視頻流監(jiān)視兒童。

Mi-Cam 嬰兒監(jiān)視器由中國 MiSafes 公司制造，其配備有網(wǎng)絡(luò)視頻監(jiān)控系統(tǒng)以及720P高清攝像頭，父母可通過 Android 和 iOS 設(shè)備連接監(jiān)視器看護(hù)孩子。

研究人員表示，這組漏洞主要有六個(gè)，其中一個(gè)是攻擊者可使用代理服務(wù)器來攔截監(jiān)視器和智能手機(jī)之間的通信，而不需要客戶端SSL證書或密碼。

另一個(gè)漏洞來自設(shè)備的忘記密碼功能，Mi-Cam允許用戶重置密碼，為了驗(yàn)證用戶其會(huì)在注冊(cè)時(shí)向客戶使用的電子郵件地址發(fā)送一個(gè)6位驗(yàn)證密鑰。對(duì)于黑客來說，破解客戶的賬戶并獲取密鑰輕而易舉。

此外，其中一個(gè)漏洞能讓攻擊者提取固件，以此確認(rèn)保密效果非常弱的四位數(shù)默認(rèn)密碼。

研究人員表示，這些嬰兒監(jiān)視器中使用的軟件已經(jīng)過時(shí)，并且存有不少廣為人知的漏洞。自2017年12月以來 SEC Consult 多次通知 MiSafes 設(shè)備安全性問題，但該公司未做出任何回應(yīng)。

視頻展示漏洞工作原理，地址：https://m.youtube.com/watch?feature=youtu.be&v=SsYnXRUhpL0

雷鋒網(wǎng) VIA HackRead

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。