通過對在線電商平臺(如亞馬遜和eBay)出售的近十種廉價視頻門鈴的安全審查發(fā)現(xiàn)�,每臺設(shè)備都存在多個安全漏洞���。其中最嚴重的是某些設(shè)備的做法�����,沒有明顯的理由將Wi-Fi名稱�、密碼、位置信息�、照片、視頻����、電子郵件和其他數(shù)據(jù)發(fā)送回制造商。
近日�,NCC集團安全咨詢公司與英國消費者組織Which合作進行了一次智能門鈴的安全性調(diào)研,抽樣測試了11種英國市場流行的����,亞馬遜商城上出售的視頻門鈴�。這些產(chǎn)品中有些看起來彼此非常相似����,但來自不同的制造商;有些產(chǎn)品看起來像是Amazon Ring的模仿者�。所有產(chǎn)品的價格都大大低于Ring和谷歌的Nest Hello智能門鈴等知名品牌的平均零售價格。
盡管大多數(shù)送測的產(chǎn)品都是一些不知名品牌�����,但其中一些產(chǎn)品獲得了較高的用戶評分��,甚至其中一種產(chǎn)品甚至被附上了Amazon’s Choice的徽標�����,這意味著亞馬遜官方對該產(chǎn)品的背書和推薦���。
研究發(fā)現(xiàn)���,接受檢測的智能門鈴的硬件、APP和監(jiān)控視頻存儲服務器等多個方面都存在安全問題�。
例如,Victure和Ctroncs這兩個品牌的視頻門鈴產(chǎn)品在安全性方面存在漏洞,攻擊者可以利用這些漏洞竊取網(wǎng)絡密碼���,并利用該密碼入侵門鈴和路由器以及其他連接到該網(wǎng)絡的設(shè)備��。
來自Victure的另一款智能門鈴被亞馬遜標記為最暢銷產(chǎn)品��,在有1000多個用戶參與的評分中獲得了4.3的高分�,結(jié)果測試發(fā)現(xiàn)該產(chǎn)品以未加密的方式發(fā)送許多敏感數(shù)據(jù)�����,包括Wi-Fi網(wǎng)絡名稱和密碼�。
在亞馬遜和eBay上出售的另一個白牌門鈴產(chǎn)品設(shè)備則采用了易受攻擊的WPA-2協(xié)議實施方式��,使攻擊者可以訪問門鈴所有者的整個家庭網(wǎng)絡�。亞馬遜上銷售的360智能門鈴也存在一個物理“安全隱患“——僅需使用標準的SIM卡彈出插針即可輕松搞定(編者:只是取下設(shè)備,而且會觸發(fā)防拆警報�,如果你沒有在APP端關(guān)閉該警報的話)。
NPC Group的研究主管Matt Lewis說:“最令人驚訝的發(fā)現(xiàn)是���,一些門鈴通過互聯(lián)網(wǎng)發(fā)送未加密的家庭Wi-Fi賬號密碼到遠程服務器���。目前尚不清楚廠商這么做的目的是什么,但這肯定會將一個人的整個家庭網(wǎng)絡暴露給潛在的攻擊者和罪犯。”
Lewis說���,檢測發(fā)現(xiàn)幾乎所有的門鈴都會將至少一些數(shù)據(jù)發(fā)送到位于英國和歐洲之外的遠程服務器���,但這并不總是敏感數(shù)據(jù)。
此外��,所有接受測試的11臺設(shè)備都具有一個或多個高風險安全漏洞����,并且普遍使用脆弱的默認密碼。其中兩個產(chǎn)品被認定極易受攻擊���,另外九個存在“嚴重影響”安全性的問題�����。
原文來源:安全牛
在線咨詢
在線咨詢
0371-63319761