最近,奥地利安全咨询公司(SECConsult)的研究人员发现了Mi-Cam婴儿监视器中一组关键漏洞,超过52,000个婴儿监视器和用户帐户易受到攻击。利用这些漏洞,攻击者可以任意访问这些设备,并在没有进行身份认证的情况下打开一个视频流监视儿童。
Mi-Cam婴儿监视器由中国MiSafes公司制造,其配备有网络视频监控系统以及720P高清摄像头,父母可通过Android和iOS设备连接监视器看护孩子。
研究人员表示,这组漏洞主要有六个,其中一个是攻击者可使用代理服务器来拦截监视器和智能手机之间的通信,而不需要客户端SSL证书或密码。
另一个漏洞来自设备的忘记密码功能,Mi-Cam允许用户重置密码,为了验证用户其会在注册时向客户使用的电子邮件地址发送一个6位验证密钥。对于黑客来说,破解客户的账户并获取密钥轻而易举。
此外,其中一个漏洞能让攻击者提取固件,以此确认保密效果非常弱的四位数默认密码。
研究人员表示,这些婴儿监视器中使用的软件已经过时,并且存有不少广为人知的漏洞。自2017年12月以来SECConsult多次通知MiSafes设备安全性问题,但该公司未做出任何回应。
18221259202