?？低曈谏蟼€月修復(fù)了一個高危漏洞，該漏洞影響攝像頭、DVR及相關(guān)賬戶。

很多人用安全攝像頭都不帶改默認(rèn)管理員用戶名和口令的——意味著只要知道去看哪兒，這些人的生活就是一場持續(xù)的現(xiàn)場直播。盡管?？低曉?017年1月引入了Hik-Connect云服務(wù)，但安全問題依然存在。

2017年5月，美國ICS-CERT就海康威視攝像頭可被輕易遠(yuǎn)程利用的漏洞發(fā)布了咨詢意見。同年晚些時候，?？低暰W(wǎng)絡(luò)攝像頭漏洞利用細(xì)節(jié)被公布后，一些用戶在屏幕上看到的是“HACKED（你被黑了）”字樣而不是預(yù)想中的監(jiān)控視頻。

如今，?？低曈制芈┒?。這次的漏洞是hik-connect.com的身份認(rèn)證安全問題。如果該漏洞被利用，攻擊者可訪問、操作并劫持其他用戶的設(shè)備。

該漏洞的發(fā)現(xiàn)者Stykas給?？低旸VR做固件更新時發(fā)現(xiàn)，Hik-connect云服務(wù)可以不用路由器端口轉(zhuǎn)發(fā)就直接訪問攝像頭，且cookie值缺乏有效驗證。他和小伙伴Lavdanis沒能找到從hik-vision.com輕松獲取其他用戶ID的方法，于是轉(zhuǎn)向使用“螢石”(Ezviz)。

“螢石”是什么呢？其介紹頁面上稱，這是?？低曔@家全球最大視頻監(jiān)視解決方案生產(chǎn)商旗下面向消費和家庭用戶的子公司。“螢石”建立在?？低暤膶I(yè)技術(shù)和知識基礎(chǔ)上，旨在向消費和智能家居市場提供健壯的商業(yè)品質(zhì)視頻產(chǎn)品。

“螢石”有個功能：只要知道用戶注冊時所用郵箱或電話，就可在無需該用戶同意的情況下將其添加為好友。

悄悄添加好友后，“被”好友用戶的ID也就無所遁形了。Stykas寫道：“于是，只要有郵箱、手機或用戶名，我們就能以別人的身份登錄，冒充他/她。”

如何利用?？低暤穆┒?/strong>