行業(yè)動(dòng)態(tài)

全軍覆沒:亞馬遜11款智能門鈴全都存在安全漏洞

來源:聚銘網(wǎng)絡(luò)    發(fā)布時(shí)間:2020-11-26    瀏覽次數(shù):
 

信息來源:安全牛


設(shè)備都存在多個(gè)安全漏洞。其中最嚴(yán)重的是某些設(shè)備的做法,沒有明顯的理由將Wi-Fi名稱、密碼、位置信息、照片、視頻、電子郵件和其他數(shù)據(jù)發(fā)送回制造商。

近日,NCC集團(tuán)安全咨詢公司與英國消費(fèi)者組織Which合作進(jìn)行了一次智能門鈴的安全性調(diào)研,抽樣測試了11種英國市場流行的,亞馬遜商城上出售的視頻門鈴。這些產(chǎn)品中有些看起來彼此非常相似,但來自不同的制造商;有些產(chǎn)品看起來像是Amazon Ring的模仿者。所有產(chǎn)品的價(jià)格都大大低于Ring和谷歌的Nest Hello智能門鈴等知名品牌的平均零售價(jià)格。

盡管大多數(shù)送測的產(chǎn)品都是一些不知名品牌,但其中一些產(chǎn)品獲得了較高的用戶評分,甚至其中一種產(chǎn)品甚至被附上了Amazon’s Choice的徽標(biāo),這意味著亞馬遜官方對該產(chǎn)品的背書和推薦。

研究發(fā)現(xiàn),接受檢測的智能門鈴的硬件、APP和監(jiān)控視頻存儲服務(wù)器等多個(gè)方面都存在安全問題。

例如,Victure和Ctroncs這兩個(gè)品牌的視頻門鈴產(chǎn)品在安全性方面存在漏洞,攻擊者可以利用這些漏洞竊取網(wǎng)絡(luò)密碼,并利用該密碼入侵門鈴和路由器以及其他連接到該網(wǎng)絡(luò)的設(shè)備。

來自Victure的另一款智能門鈴被亞馬遜標(biāo)記為最暢銷產(chǎn)品,在有1000多個(gè)用戶參與的評分中獲得了4.3的高分,結(jié)果測試發(fā)現(xiàn)該產(chǎn)品以未加密的方式發(fā)送許多敏感數(shù)據(jù),包括Wi-Fi網(wǎng)絡(luò)名稱和密碼。

在亞馬遜和eBay上出售的另一個(gè)白牌門鈴產(chǎn)品設(shè)備則采用了易受攻擊的WPA-2協(xié)議實(shí)施方式,使攻擊者可以訪問門鈴所有者的整個(gè)家庭網(wǎng)絡(luò)。亞馬遜上銷售的360智能門鈴也存在一個(gè)物理“安全隱患“——僅需使用標(biāo)準(zhǔn)的SIM卡彈出插針即可輕松搞定(編者:只是取下設(shè)備,而且會(huì)觸發(fā)防拆警報(bào),如果你沒有在APP端關(guān)閉該警報(bào)的話)。

NPC Group的研究主管Matt Lewis說:“最令人驚訝的發(fā)現(xiàn)是,一些門鈴?fù)ㄟ^互聯(lián)網(wǎng)發(fā)送未加密的家庭Wi-Fi賬號密碼到遠(yuǎn)程服務(wù)器。目前尚不清楚廠商這么做的目的是什么,但這肯定會(huì)將一個(gè)人的整個(gè)家庭網(wǎng)絡(luò)暴露給潛在的攻擊者和罪犯。”

Lewis說,檢測發(fā)現(xiàn)幾乎所有的門鈴都會(huì)將至少一些數(shù)據(jù)發(fā)送到位于英國和歐洲之外的遠(yuǎn)程服務(wù)器,但這并不總是敏感數(shù)據(jù)。

此外,所有接受測試的11臺設(shè)備都具有一個(gè)或多個(gè)高風(fēng)險(xiǎn)安全漏洞,并且普遍使用脆弱的默認(rèn)密碼。其中兩個(gè)產(chǎn)品被認(rèn)定極易受攻擊,另外九個(gè)存在“嚴(yán)重影響”安全性的問題。


 
 

上一篇:澳大利亞情報(bào)機(jī)構(gòu)被發(fā)現(xiàn)利用COVID-19接觸者追蹤應(yīng)用收集民眾數(shù)據(jù)

下一篇:2020年11月26日聚銘安全速遞