开发者社区> boxti> 正文

三星智能摄像头存在漏洞 可被黑获得 root 权限

简介:
+关注继续查看

安全人员在三星智能摄像头当中发现一个新的安全漏洞,攻击者借此可以获得root权限,并且远程运行命令。三星智能摄像头从本质上讲是一个IP摄像头,它允许用户从任何地点使用三星自家的服务连接并查看实时视频或记录事件。它提供了无缝的婴儿或宠物监控,企业和家庭的安全监控。

exploitee.rs网站公布了三星智能摄像头当中存在的一个漏洞,可以允许攻击者使用三星上次为三星智能摄像头修复漏洞而无意留下的一个web服务器,获得对设备的root访问权限。

具体而言,三星试图通过去除本地网络接口,并迫使用户访问SmartCloud网站来修复设备的安全漏洞,但在同一时间,该公司还继续让服务器功能在本地运行。而事实证明,一个可能的漏洞使攻击者通过推送定制固件文件连接到这个Web界面。

该IWATCH install.php漏洞可以通过制定专门的文件名,然后存储在PHP系统调用tar命令加以利用。由于Web服务器作为root运行,文件名由用户提供,输入时没有安全处理,黑客可以内注入自己的命令来实现root远程命令执行。

目前,三星尚未出台新的漏洞补丁来修复智能摄像头存在的这个漏洞。

image

文章转载自 开源中国社区 [http://www.oschina.net]

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
RocketMQ消息丢失,消息一致性,重复消费解决方案
大家好,我是Leo。 这是开端的第三次循环了。当前正在正处于RocketMQ基础原理。
5 0
如何选择阿里云服务器ECS,性能测试PTS助你对云服务器进行压力测试
很多新手用户你不知道如何选择阿里云服务器ECS,性能测试PTS可以很好的帮助你快速对云服务器进行压力测试。下面是性能测试PTS详解!
7 0
新网杯topline:手把手教你构建中文语音合成模型
新网杯topline:手把手教你构建中文语音合成模型
6 0
Git安装与常用命令和分支操作 码云配置 笔记
Git安装与常用命令和分支操作 码云配置 笔记
5 0
RocketMQ消息积压,异步方案,缓存策略解决方案
RocketMQ消息积压,异步方案,缓存策略解决方案
4 0
🏆字节跳动安全Ai挑战赛-小样本赛道方案总结
🏆字节跳动安全Ai挑战赛-小样本赛道方案总结
4 0
RocketMQ 5.0: 存储计算分离新思路
尽管消息中间件 RocketMQ 在阿里巴巴和开源社区已经走过了十多个年头,但在云原生浩浩荡荡的浪潮下,我们开始对 RocketMQ 的架构有了一些新的思考。本文我们将对其展开详细的讲解。
5 0
ACM模板——强连通分量(Tarjan)
ACM模板——强连通分量(Tarjan)
4 0
DHL
迭代器 Iterable 这么慢吗?而它让性能提升 N 倍
分析一下 `Sequence` 和 `Iterable` 的性能和执
5 0
+关注
boxti
12535
10036
文章
1327
问答
文章排行榜
最热
最新
相关电子书
更多
OceanBase 入门到实战教程
立即下载
阿里云图数据库GDB,加速开启“图智”未来.ppt
立即下载
实时数仓Hologres技术实战一本通2.0版(下)
立即下载