小米攝像機安全危機發(fā)酵：高危漏洞不止一個

昨日，小米攝像機被曝光存在遠程命令漏洞，可能危害到家庭的隱私及公共安全。小蟻科技（小米攝像機開發(fā)廠商）方面雖然已就此事發(fā)表官方聲明，但是漏洞發(fā)現(xiàn)者360攻防實驗室再度回應(yīng)，對小米攝像機理解錯誤的漏洞細節(jié)和新版本中的新漏洞做了具體分析。

圖：360攻防實驗室對小蟻公司的聲明作出回應(yīng)

據(jù)悉，2月2日晚間，360攻防實驗室發(fā)布漏洞報告稱小米攝像機應(yīng)用管理程序存在遠程執(zhí)行命令，無需任何web權(quán)限即可可以通過web界面以root權(quán)限執(zhí)行任意系統(tǒng)命令。簡單來說，攻擊者可以通過該漏洞，無需用戶名、口令等認證方式，遠程控制小米攝像機，瀏覽視頻信息。如果點擊黑客惡意構(gòu)造的鏈接地址，黑客還可以盜走WIFI密碼。這嚴(yán)重危害到家庭的隱私及公共安全。同時可以利用小米攝像機對路由器進行關(guān)聯(lián)操作，攻擊家庭內(nèi)網(wǎng)其它智能設(shè)備。

針對這份漏洞報告，小米攝像機的生產(chǎn)方小蟻科技發(fā)表官方聲明稱，小米攝像頭在網(wǎng)絡(luò)層面采用動態(tài)隨機密碼機制，報告中提到的漏洞確實存在，但僅在早起版本中存在，建議廣大用戶盡快升級。

隨后，360安全播報中心對該聲明進行分析解讀稱，無需通過破解密碼即可控制低版本的小米攝像機，并且發(fā)現(xiàn)最新版本中存在另一個高危的遠程命令執(zhí)行漏洞，現(xiàn)已通報至小米安全中心。該漏洞的本質(zhì)是：1、小米路由器訪客模式是沒有進行VLAN隔離或者用戶隔離，能夠直接訪問到局域網(wǎng)其它設(shè)備。2、小蟻路由器的應(yīng)用程序無需賬號驗證，直接可訪問wifi配置文件，查看wifi密碼。

近年來，網(wǎng)絡(luò)安全的重要性日益凸顯，隱私泄露事件時有發(fā)生，面對漏洞威脅和黑客攻擊，安全廠商和網(wǎng)絡(luò)公司均有義務(wù)進行通報和預(yù)警提示，并及時對漏洞進行分析，并研究防護的策略。在聲明的最后，360安全播報平臺建議，包括小米在內(nèi)的所有廠商都能重視漏洞報告，并及時提示用戶進行安全更新。