小米摄像机被爆三连环漏洞 智能硬件安全隐患日渐升温
小米智能摄像机的安全问题再度成为关注。昨日,国内安全漏洞平台乌云曝光其摄像机存在高危害等级漏洞,攻击者可以利用该漏洞,在没有用户名、口令等认证方式的条件下,远程控制小米摄像机,浏览视频信息。
据悉,这是近期内小米摄像机第三次被曝光存在漏洞问题,此前,另外一家国内安全平台360攻防实验室已经发布漏洞通知并得到了小米官方回应。
图1:乌云平台曝光小米摄像机漏洞问题
据了解,此前两次漏洞是由360漏洞攻防实验室发现,类别分别是应用管理程序可以通过web界面,以root权限执行任意系统命令;在非授权情况下获得摄像头视频文件以及家庭wifi密码。乌云此次曝光的的“命令执行补丁绕过”漏洞与上两者基本相同。
对此,小米公司在收到第一次漏洞报告当日,就由小米公司智能产品的合作方上海小蚁科技有限公司在微博上发出声明,称产品使用动态随机密码机制,且与“乌云”存在合作关系,能“实时监测产品漏洞”;报告中的漏洞仅在早期版本中存在,现已修复,并呼吁用户尽快升级。
一周后,声称已经修复漏洞,不存在安全隐患的小米摄像机再度被乌云平台披露存在高危害等级漏洞。同时,漏洞发现者发出通牒,厂商若不及时认领,关乎万人隐私安全的漏洞将于3月26日被公开。该位白帽子在漏洞描述中称,小米摄像机隐患被曝光后,官博发布了补丁升级,于是该用户拿到固件后分析补丁寻找漏洞方位,但之后却发现漏洞并未被修复。因此,白帽子在漏洞描述的言语上明显透露出对小米摄像机所打补丁的不满。
图2:友商披露漏洞,小米摄像头遭遇尴尬
令人意外的是,小米摄像头合作方小蚁科技曾在官方微博中为其贴上与最权威安全机构“乌云”存在合作的标签。而此次被合作方乌云曝光安全漏洞,想必小米摄像头的处境够尴尬。
对于小米摄像机接二连三的被曝光存在漏洞,有媒体认为,并非是小米不具备做好产品的能力,而是缺乏核心的安全能力。雷军曾发微博称“欢迎友商监督”,此前对360漏洞实验室的提示不以为然,此次小米合作方乌云的揭底应该算是真正的“友商监督”了,那小米接下来该怎么做呢?毕竟用户的利益至上,像摄像机这样的智能产品,安全性是第一优先考虑因素吧?