研究发现iLinkP2P存在缺陷暴露数以百万计的摄像头可被用于监视
新的研究发现全球超过数百万的摄像头和其他消费类电子产品中,使用的通信技术存在几个关键的安全漏洞。
这几个关键漏洞可以让任何人直接利用这些摄像头进行监视,或者窃取其他物联网设备的凭据和远程攻击等。
存在缺陷的主要原因是这些物联网设备使用名为iLinkP2P的软件,这是基于P2P对等协议开发的访问类程序。
这款软件可以利用协议让用户在全球任意区域轻松进行远程访问,所以该软件也被预装在无数物联网设备中。
约200万台物联网设备可以公开访问:
研究人员统计后发现全球约有两百万台物联网设备安装该软件,因此基于安全漏洞可被攻击者直接远程访问。
使用该软件的产品通常会在设备底部贴有条形码,使用公开的配套软件扫描条形码或输入编号即可远程连接。
遗憾的是此软件不提供身份验证加密,因此只要攻击者采取枚举手段猜测设备编号即可与目标设备建立连接。
而大部分的受影响设备由深圳海芯微视生产,使用的编号前缀包括FFFF/GGGG/HHHH/IIII/MMMM/ZZZZ。
研究人员制作的概念验证脚本在上月检测发现约151 万台设备在线,枚举其他编号后这个数字扩大到200万。
中国和欧洲受影响最严重:
通报漏洞后没有获得厂商回应:
研究人员表示尽管已经通知软件开发商和硬件制造商但都没有获得回应,尚不清楚开发商是否知道漏洞存在。
同样的基于无法联系开发商和制造商所以研究人员准备先公开安全报告,然后继续评估这些漏洞的潜在危害。
很难说研究人员是否会公开漏洞细节和验证脚本等,至少从危害方面说研究人员暂时还没有准备公开的想法。
若设备带有类似下图的UID编号即受影响:
危害太大基本没办法修复:
这些物联网设备想要升级固件本身已经不同意,同时每个设备分配的串号等已经在生产过程中进行永久写入。
另外即便发布新版本固件进行修复但是绝大多数用户也不会升级,这个在物联网领域是非常非常普遍的问题。
而寻求制造商召回设备成本太高更不可能用这种方式,总体来说想要成功解决这个安全事件基本没有好办法。
为什么不要购买物联网设备这就是原因:
在过去几年我们已经多次提到物联网设备的安全性,物联网设备安全性在消费类电子产品里应该算是最差的。
主要原因是物联网设备进行升级的概率太低,而这类电子产品都有固件驱动因此存在着安全漏洞也是必然的。
然而一旦出现安全漏洞就意味着用户不再安全,攻击者可以通过这类设备完整入侵家庭或公司网络进行作恶。
这次的iLinkP2P漏洞也同样如此,攻击者连接摄像头可以直接进行监视,而多数用户也不会发现自己被监视。
搭载该软件的摄像头既有公共摄像头也有家用摄像头,因此带来的潜在危害非常大,除非用户停用这些设备。