Bitdefender 警告,未解决的漏洞也会产生代码执行风险
来自Nooie更新的婴儿监视器的安全漏洞,可能允许攻击者访问摄像头或在设备上执行恶意代码。
信息安全公司Bitdefender的研究人员在两种型号的Nooie婴儿监控设备上实现了远程代码执行(RCE)。同一范围的其他设备也可能易受攻击,但这尚未得到证实。
Nooie Cam软件在谷歌Play Store上已经有5万到10万的安装量,这表明其已得到了广泛的使用。
安全和物联网最新研究
Bitdefender的团队发现了四个不同的漏洞。
首先是基于堆栈的缓冲区溢出或内存损坏漏洞,可能导致远程代码执行。该漏洞(编号为CVE-2020-15744)被归类为严重漏洞,与来自Victure的IoT软件缺陷有关,这是Bitdefender先前研究的重点。
另一个漏洞使攻击者能够访问任意摄像机的RTSPS(音频-视频)源。
Nooie的婴儿摄像机依靠MQTT协议来宣布物联网设备的状态,并接收链接到每个独立物联网设备的RTSPS音频/视频流的URL。
Bitdefender的团队发现MQTT服务器管理源未能要求身份验证,允许潜在攻击者订阅源并在任何设备联机时获取其ID。
Nooie的婴儿摄像机使用亚马逊网络服务(AWS)将录像存储在云端。Bitdefender发现,每个设备都有自己独特的凭证,但这些信息很容易被潜在攻击者获取。
Bitdefender称:“攻击者可以轻松地欺骗摄像头并伪造请求,从而非法访问凭据。”。
“唯一的先决条件是MQTT服务器上泄漏的ID( uuid和uid)。在获得凭据后,他们可以访问摄像机已存储的记录。
Bitdefender于2020年11月私下披露了这些漏洞,随后提供了概念验证代码,并要求更新补丁程序的开发进度。
Bitdefender在未能从供应商那里得到任何实质性消息后,于本月公开了漏洞的详细信息和建议的缓解措施,可参考技术博客文章 。
Daily Swig 邀请Nooie对Birtdefender的研究发表评论或为受影响的婴儿相机的客户提供指导。
Bitdefender告诉The Daily Swig,这些漏洞可能会导致一系列针对消费者的潜在攻击。
Bitdefender物联网安全总监Dan Berte表示:“从隐私的角度该来看,劫持视频源总是会对消费者的情绪产生很大的影响,但RCE也可能导致拒绝服务、加密挖矿、勒索软件或数据外泄,这同样令人担忧。”
Bitdefender发现这些漏洞是其更广泛研究的一部分,该研究旨在帮助“供应商和客户掌握安全和隐私盲点,并让物联网生态系统对每个人都更安全”。
当被问及如何评价Nooie婴儿摄像头的相对安全性时,Bitdefender发表了一份一般性声明,解释称物联网设备的安全性是高度可变的。
Bitdefender的Bert表示:“一些制造商通过采用安全编码,用于自我评估的专用工程资源、漏洞奖励或披露计划、频繁更新和其他措施等最佳实践,在保护其产品方面投入更多资金。”
“其他人可能缺乏技术知识、可用资源,甚至没有兴趣专注于安全。”
Berte总结道:“从网络安全的角度来看,由于缺乏围绕设备安全的行业监管、全球供应商众多以及已经连接的数百万物联网设备,这使得这一领域充满挑战。”
