我们现在谈的是闭路摄像装置的远程控制
安全专家们再次对曾制造大量易受Mirai感染的摄像设备的雄迈公司感到担忧。
该设备商生产的部分摄像设备的2017超级权限密钥似乎已经泄露到了网上,而这些密钥本来仅用于用户安装闭路摄像设备。
英国安全咨询公司Pen Test Partners(PTP)的主管肯·芒罗对媒体表示:“如果我们的猜测确有其事,这些密钥完全可以远程控制特定摄像系统。过程类似 Mirai感染,结果则是闭路监控系统被远程控制。”
PTP公司在尼日利亚的一个闭路电视程序页面发现了泄露的密钥表。这份密钥表包含了2017全年的登录凭证,实质上是摄像服务的每日的、一次性的密钥本。而一次性密钥本只有在完全控制流通渠道、非重复使用前提下才会有效。
安全公司F-Secure的首席风险官米克·希伯能最近也在网上其他地方发现了这一文件。
这份文件涉及XMEye,后者是ZY Security为远程连接摄像视频数据提供的云服务。芒罗说:“该服务只提供给中国内销的特定型号的摄像设备,我们还未定性这些登录凭证,但这无疑是对雄迈公司的又一次大打击。”
一些私人社区或供应商辩称他们的设备仅仅用于局域网,但是这份文件显示它们会用于网络服务。被涉厂商没有公开确认问题,而只在私下里承认犯错。PTP公司拟定从中国引入一台摄像设备来透析此问题,但是错误显然已经酿成。
芒罗说:“和用户分享权限账户凭证,而又指望他们保密简直是异想天开。”
PTP公司在对闭路系统摄像设备安全的长期研究中发现了这份泄露密钥表。芒罗表示PTP公司已经发现了其他一些类似的录像设备上也有隐藏的超级权限。
雄迈公司的产品包括安全监控系统、闭路电视及相关摄像设备的元件(主板、网络模块等)。
作者:Alfred.N
来源:51CTO
