QQ客服:4000600990 客服热线:4001610866 投诉邮箱:jubao@knownsec.com

热门搜索词

抗D保 创宇盾 HSTS SNI 新功能

热门文章

  • 漏洞预警 | 开源软件工具Jenkins...

    近日,Jenkins发布安全公告,称插件Script Security、Pipeline: Groovy和Pipeline: Declarativ 存在沙箱绕过漏洞,CVE编号分别为:CVE-2019-1003000、CVE-2019-1003001和CVE-2019-1003002。利用该漏洞,攻击者可不经身份认证实现远程代码执行。

  • 公告 | 关于云安全用户请尽快完成实名认...

    根据《中华人民共和国网络安全法》关于“网络运营者不得为未完成实名认证的用户提供相关服务”等的相关法律规定,请未完成实名制的客户尽快完成处理。

  • 年度报告 | 知道创宇云安全2018年度...

    2018年,网络安全领域暗流涌动,攻击趋势不断攀升,T级DDoS攻击多次爆发、数据泄露事件层出不穷、勒索软件大行其道。此外,随着我国互联网行业“出海”新浪潮的来临,海外业务的激增刺激了大量海外黑客势力加入到“分蛋糕”的队伍。

关注知道创宇云安全

获取最新安全动态

安全性太差!中国一物联网公司遭SEC点名批评!

来源:云有料 2018.10.12

 又一家物联网设备供应商被爆出现了基本的安全漏洞,让攻击者有机可趁。

 这一次出现问题的是中国监控摄像机制造商雄迈,因其XMEye P2P云服务的安全性较差而受到了美国证券交易委员会(SEC)研究人员的点名批评。其中,研究人员指出的问题包括暴露的默认凭证以及可通过该服务提供的无符号固件更新。

 因此,美国证券交易委员会警告称,这些漏洞可能会使摄像头受到攻击,从对其所有者展开间谍活动,到执行僵尸网络指令,甚至成为更大规模网络入侵的入口点。而针对这些漏洞,SEC表示,“我们的建议是完全停止使用雄迈和雄迈OEM设备。”

 随后,SEC补充道,“该公司的安全记录很糟糕,此前在恶意软件Mirai以及其他各种物联网僵尸网络事件中都曾扮演过一定的角色,而且有些漏洞是在2017年就已公布的,但在最近的固件版本中仍未进行修复。”

默认情况下,P2P云服务会允许用户通过网页浏览器或iOS / Android应用程序远程连接到设备,无需本地网络连接就可控制硬件。但不幸的是,SEC解释称,设备本身和服务的漏洞,如未加密的连接和默认密码(用户在设置设备时不需要更改默认值)意味着在许多情况下,攻击摄像头是非常容易成功的。

此外,SEC还指出,雄迈设备不需要进行有符号固件更新,这意味着攻击者可能会安装带有恶意软件的固件更新来构建僵尸网络,或者对本地网络展开进一步攻击。研究人员表示,“这可能是通过修改固件更新中所包含的文件系统或在固件更新文件中修改‘InstallDesc’文件来实现的。”其中,InstallDesc是一个文本文件,包含着在更新期间执行的命令。

最重要的是,SEC指责雄迈无视安全警告,同时也没有采取任何基本预防措施。

该部门声称雄迈不仅忽视了他们的最新警告,其糟糕的安全状况还曾成为了臭名昭着的Mirai僵尸网络的“素材”。因此,在这种情况下,研究人员建议公司停止使用基于雄迈硬件的OEM硬件。

公开信息显示,  杭州雄迈信息技术有限公司创立于2008年,是一家集安防视频监控类产品研发、生产和销售于一体的高科技企业,主要产品包括安全监控系统、闭路电视及相关摄像设备的元件(主板、网络模块等)。

×
×

身份信息验证

应国家法律法规相关要求,自2017年6月1日起使用信息发布、即时通信等服务时,需进行身份信息验证。为保障您对相关服务功能的正常使用,请验证手机邮箱姓名身份证号,感谢您的支持和理解。

验证
4001610866 4000600990 关注