【big big channel】200萬 監控鏡頭 免費任睇
IoT 設備嘅種類極多,上淘寶隨便搵一下,好似 監控鏡頭 、智能門鎖、智能溫度計等等,平到二百幾蚊已有交易,碌下碌下見得意就會買返嚟玩下。不過,最近其中一款用於 IoT 產品嘅軟件 iLnkP2P ,就被發現存在極大漏洞,專家唯一嘅建議,竟然係買過部新嘅先得!
iLnkP2P 呢款軟件係由深圳一間叫做 Yunni Technology 所開發,網絡安全研究員 Paul Marrapese 指出呢款軟件被多間公司採用為旗下具備 監控鏡頭 嘅操作介面,包括 HiChip、 TENVIS 、 SV3C 、VStarcam 、 HVCAM 等等。iLnkP2P 最簡單之處係只要用電腦登入網站,再輸入產品上的 UID(Unique Identifier),就可以喺軟件內連接產品,實時睇到監控鏡頭拍攝到嘅畫面。
監控鏡頭兩大漏洞
至於 Paul 所發現嘅漏洞分別係 CVE-2019-11220 及 CVE-2019-11219,前者可以俾黑客發動 Man-in-the-middle 攻擊,盜取產品嘅登入密碼,後者則可以讓黑客直接越過防火牆同有漏洞嘅產品進行連接。 Paul 指出由於數據傳輸全部不經加密,所以截取到嘅數據都可以輕易解讀得到。佢又提供咗一個清單,如發現產品上 UID 嘅首四位字母喺名單上,就代表產品存有呢個漏洞。
要解決呢個漏洞, Paul 解釋基本上係無可能,因為一旦關閉呢款軟件採用嘅 UDP port 32100,就無法進行遙距影像監控,換言之產品即成廢物。雖然佢由今年一月開始已先後去信各產品嘅生產商、軟件開發商,但到四月依然零回應,所以佢話都唔好期待生產商會推出更新檔修補漏洞喇。唯一可以做嘅,就係買過一款商譽良好、會定期推出更新檔嘅生產商嘅產品,毋須人貪平而置身係網絡攻擊嘅風險之下。
相關文章:【FreeRTOS 發現漏洞】大量 IoT 冇得救?
