据外媒 6 月 8 日报道,全球领先安全公司 F-Secure 专家发现中国互联网摄像机 Foscam 产品存在 18 处漏洞,其允许攻击者接管互联网摄像机,上传与下载内置 FTP 服务器文件及查看用户视频。
F-Secure 表示,尽管他们于数月前就已在 Foscam C2 与 Opticam I5 HD 型号中发现漏洞并报告给 Foscam 制造商,但这些漏洞目前仍未被修复。安全专家认为,同样的漏洞可能会影响 Foscam 其他 14 个品牌型号,包括 Chacon、7links、Netis 与 Turbox 等。此外,攻击者还可利用该设备漏洞作为目标网络接入点,即或将危及本地网络中的其他互联网设备。
调查显示,安全专家从 Foscam C2 与 Opticam I5 HD 型号中发现的漏洞主要包括不安全的默认凭证、硬编码凭证、隐藏无证 Telnet 功能、远程命令注入、分配编程脚本的不正确权限、防火墙泄漏有关凭证的有效详细信息、持续跨站点脚本编制与基于堆栈缓冲区的溢出攻击等。
安全专家强调,因为 Foscan 使用的硬编码凭证不能更改,所以用户即使修改摄像机 IP 默认凭证,其设备仍将遭受黑客网络攻击。如果攻击者在互联网上发现并公布密码,即可访问该设备并窃取私人数据。此外,由于所有摄像机设备均具有相同密码,其攻击者可轻松在各设备之间传播恶意软件。F-Secure 专家建议用户在运行摄像机 IP 凭证时,避免外网访问且更改默认凭证及定期检查安全更新。
附:F-Secure 原文分析报告《摄像机与攻击: 物联网如何削弱你的竞争优势》
原作者:Pierluigi Paganini,译者:青楚
from hackernews.cc.thanks for it.