物聯(lián)網攝像頭存在安全漏洞 黑客可以遠程控制攝像頭

新發(fā)現(xiàn)的漏洞，在一個流行品牌的室內互聯(lián)網連接相機可以被攻擊者利用，以獲得完全控制的設備。

據(jù)研究人員稱，F(xiàn)oscamC1室內高清攝像頭的安全問題可能允許黑客遠程訪問該設備。

福斯卡姆C1相機是一種常用的家庭監(jiān)控設備，由許多大型技術零售商銷售。以為基地的深圳福斯卡姆智能科技有限公司將其產品描述為“領先的IP攝像機”，并表示這些產品的存在是為了“使世界各地的人們的生活更加安全”。

但思科塔洛斯公司的研究人員發(fā)現(xiàn)了攝像頭中的漏洞，這可能會把它遠程放在黑客手中。最新的漏洞FoscamC1是單獨的，以前披露的問題，可以用來損害設備。

在WebService DDNS客戶端代碼執(zhí)行、固件升級、軟AP配置、設備到設備通信以及幾個緩沖區(qū)溢出漏洞中發(fā)現(xiàn)了問題。

塔洛斯說：“攻擊者可以利用這些漏洞在受影響的設備上實現(xiàn)遠程代碼執(zhí)行，以及將流氓固件圖像上傳到設備上，這可能導致攻擊者能夠完全控制這些設備?！?/p>

啟用動態(tài)DNS（DDNS）的Foscam攝像機對緩沖區(qū)溢出漏洞很敏感，攻擊者可以通過使用流氓HTTP服務器來利用這些漏洞，以便編寫新的響應來啟動命令，從而允許遠程控制設備。

研究人員還發(fā)現(xiàn)，F(xiàn)oscamC1HD室內攝像頭的固件升級可能會通過設備上的Web管理接口受到影響。他們被發(fā)現(xiàn)對用戶提供的固件圖像缺乏足夠的驗證，攻擊者可以利用這個漏洞在設備上上傳和執(zhí)行定制固件。

也請看：你忘記的物聯(lián)網設備會留下災難性的、有毒的遺產

在Web管理接口中也存在一個漏洞，如果被利用，可以允許特定的HTTP請求在SoftAP配置期間注入任意shell字符，從而導致命令注入，攻擊者可能濫用該命令。

此外，研究人員發(fā)現(xiàn)，通過使用緩沖區(qū)溢出條件，設備與設備之間的通信可能被攻擊者惡意濫用，允許發(fā)出未經驗證的遠程命令，這可能再次導致設備的折衷。

福斯卡姆室內IP相機C1系列模型運行系統(tǒng)固件版本1.9.3.18，應用固件版本2.52.2.43或插件版本：3.3.0.26都容易受到漏洞的影響。

”在許多情況下，這些裝置可能部署在敏感地點。塔洛斯的研究人員寫道：“它們被用于安全監(jiān)控，許多人使用這些設備遠程監(jiān)控他們的家、孩子和寵物?！?/p>

思科已經通知了Foscam的漏洞，相機制造商已經發(fā)布了固件更新來解決這個問題。

研究人員說：“受影響設備的用戶應盡快更新到這一新版本，以確保他們的設備不會受到傷害?！彼麄冞€警告說，物聯(lián)網設備應保持最新狀態(tài)，以確保盡可能高的安全級別。

在流行的物聯(lián)網設備中發(fā)現(xiàn)的一系列安全問題中，F(xiàn)oscamC1的IP攝像頭漏洞是最新的。其他品牌的物聯(lián)網相機經常被發(fā)現(xiàn)包含漏洞，而從物聯(lián)網連接兒童玩具到大型帆船，所有的東西都被發(fā)現(xiàn)缺乏最基本的網絡安全。

更新：在給ZDNet的一封電子郵件中，F(xiàn)oscam發(fā)言人說，其安全小組的工作是“相應地修復已確認的證券漏洞”。

“福斯卡姆始終高度重視產品安全。我們將繼續(xù)加強努力，加大對提高產品安全性的投入，使我們的產品對用戶更穩(wěn)定、更可靠。