QQ客服:4000600990 客服热线:4001610866 投诉邮箱:jubao@knownsec.com

热门搜索词

抗D保 创宇盾 HSTS SNI 新功能

热门文章

  • CBP分包商出现重大数据泄露事件 至少5...

    美国海关和边境保护局(CBP)所雇佣的分包商Perceptics出现重大数据泄露事件,在对已经泄露的数据分析后发现至少有5万名美国车牌号码数据在暗网上被销售。

  • Akamai表示黑客在17个月内对全球游...

    根据互联网交付和云服务公司Akamai的最新报告,黑客在截至2019年3月的17个月内对全球游戏网站进行了120亿次凭证填充攻击,从而瞄准了游戏行业。

  • Telegram 遭DDoS 攻击 部...

    近日,流行社交软件Telegram的服务器遭受DDoS攻击,导致部分地区用户使用受影响,美国北部和南部地区的用户甚至一度无法使用。

关注知道创宇云安全

获取最新安全动态

安全性太差!中国一物联网公司遭SEC点名批评!

来源:云有料 2018.10.12

 又一家物联网设备供应商被爆出现了基本的安全漏洞,让攻击者有机可趁。

 这一次出现问题的是中国监控摄像机制造商雄迈,因其XMEye P2P云服务的安全性较差而受到了美国证券交易委员会(SEC)研究人员的点名批评。其中,研究人员指出的问题包括暴露的默认凭证以及可通过该服务提供的无符号固件更新。

 因此,美国证券交易委员会警告称,这些漏洞可能会使摄像头受到攻击,从对其所有者展开间谍活动,到执行僵尸网络指令,甚至成为更大规模网络入侵的入口点。而针对这些漏洞,SEC表示,“我们的建议是完全停止使用雄迈和雄迈OEM设备。”

 随后,SEC补充道,“该公司的安全记录很糟糕,此前在恶意软件Mirai以及其他各种物联网僵尸网络事件中都曾扮演过一定的角色,而且有些漏洞是在2017年就已公布的,但在最近的固件版本中仍未进行修复。”

默认情况下,P2P云服务会允许用户通过网页浏览器或iOS / Android应用程序远程连接到设备,无需本地网络连接就可控制硬件。但不幸的是,SEC解释称,设备本身和服务的漏洞,如未加密的连接和默认密码(用户在设置设备时不需要更改默认值)意味着在许多情况下,攻击摄像头是非常容易成功的。

此外,SEC还指出,雄迈设备不需要进行有符号固件更新,这意味着攻击者可能会安装带有恶意软件的固件更新来构建僵尸网络,或者对本地网络展开进一步攻击。研究人员表示,“这可能是通过修改固件更新中所包含的文件系统或在固件更新文件中修改‘InstallDesc’文件来实现的。”其中,InstallDesc是一个文本文件,包含着在更新期间执行的命令。

最重要的是,SEC指责雄迈无视安全警告,同时也没有采取任何基本预防措施。

该部门声称雄迈不仅忽视了他们的最新警告,其糟糕的安全状况还曾成为了臭名昭着的Mirai僵尸网络的“素材”。因此,在这种情况下,研究人员建议公司停止使用基于雄迈硬件的OEM硬件。

公开信息显示,  杭州雄迈信息技术有限公司创立于2008年,是一家集安防视频监控类产品研发、生产和销售于一体的高科技企业,主要产品包括安全监控系统、闭路电视及相关摄像设备的元件(主板、网络模块等)。

×
×

身份信息验证

应国家法律法规相关要求,自2017年6月1日起使用信息发布、即时通信等服务时,需进行身份信息验证。为保障您对相关服务功能的正常使用,请验证手机邮箱姓名身份证号,感谢您的支持和理解。

验证
4001610866 4000600990 关注