小米攝像機(jī)安全危機(jī)發(fā)酵：高危漏洞不止一個(gè)

昨日，小米攝像機(jī)被曝光存在遠(yuǎn)程命令漏洞，可能危害到家庭的隱私及公共安全。小蟻科技（小米攝像機(jī)開發(fā)廠商）方面雖然已就此事發(fā)表官方聲明，但是漏洞發(fā)現(xiàn)者360攻防實(shí)驗(yàn)室再度回應(yīng)，對(duì)小米攝像機(jī)理解錯(cuò)誤的漏洞細(xì)節(jié)和新版本中的新漏洞做了具體分析。

圖：360攻防實(shí)驗(yàn)室對(duì)小蟻公司的聲明作出回應(yīng)

據(jù)悉，2月2日晚間，360攻防實(shí)驗(yàn)室發(fā)布漏洞報(bào)告稱小米攝像機(jī)應(yīng)用管理程序存在遠(yuǎn)程執(zhí)行命令，無需任何web權(quán)限即可可以通過web界面以root權(quán)限執(zhí)行任意系統(tǒng)命令。簡單來說，攻擊者可以通過該漏洞，無需用戶名、口令等認(rèn)證方式，遠(yuǎn)程控制小米攝像機(jī)，瀏覽視頻信息。如果點(diǎn)擊黑客惡意構(gòu)造的鏈接地址，黑客還可以盜走WIFI密碼。這嚴(yán)重危害到家庭的隱私及公共安全。同時(shí)可以利用小米攝像機(jī)對(duì)路由器進(jìn)行關(guān)聯(lián)操作，攻擊家庭內(nèi)網(wǎng)其它智能設(shè)備。

針對(duì)這份漏洞報(bào)告，小米攝像機(jī)的生產(chǎn)方小蟻科技發(fā)表官方聲明稱，小米攝像頭在網(wǎng)絡(luò)層面采用動(dòng)態(tài)隨機(jī)密碼機(jī)制，報(bào)告中提到的漏洞確實(shí)存在，但僅在早起版本中存在，建議廣大用戶盡快升級(jí)。

隨后，360安全播報(bào)中心對(duì)該聲明進(jìn)行分析解讀稱，無需通過破解密碼即可控制低版本的小米攝像機(jī)，并且發(fā)現(xiàn)最新版本中存在另一個(gè)高危的遠(yuǎn)程命令執(zhí)行漏洞，現(xiàn)已通報(bào)至小米安全中心。該漏洞的本質(zhì)是：1、小米路由器訪客模式是沒有進(jìn)行VLAN隔離或者用戶隔離，能夠直接訪問到局域網(wǎng)其它設(shè)備。2、小蟻路由器的應(yīng)用程序無需賬號(hào)驗(yàn)證，直接可訪問wifi配置文件，查看wifi密碼。

近年來，網(wǎng)絡(luò)安全的重要性日益凸顯，隱私泄露事件時(shí)有發(fā)生，面對(duì)漏洞威脅和黑客攻擊，安全廠商和網(wǎng)絡(luò)公司均有義務(wù)進(jìn)行通報(bào)和預(yù)警提示，并及時(shí)對(duì)漏洞進(jìn)行分析，并研究防護(hù)的策略。在聲明的最后，360安全播報(bào)平臺(tái)建議，包括小米在內(nèi)的所有廠商都能重視漏洞報(bào)告，并及時(shí)提示用戶進(jìn)行安全更新。