【快訊】17.5萬台國產攝像頭被曝漏洞

翻譯：安全客

原文鏈接：【國際資訊】17.5萬台國產攝像頭被曝漏洞，隱私安全誰來保護？ - 安全客 - 有思想的安全新媒體

翻譯來自：Roughly 175,000 Chinese Internet Connected security cameras can be easily hacked

Bitdefender發布報告稱，約17.5萬台由深圳市麗歐電子有限公司製造的聯網安全攝像頭存在多處安全漏洞。

註：比特梵徳（BitDefender）殺毒軟體是由羅馬尼亞的Softwin軟體公司開發的。

BitDefender誕生於2001年11月，代替了它之前的AVX（AntiVirus eXpress）系列產品。該產品包括有家庭版、商業版、企業版和伺服器版。家庭版支持支持Microsoft Windows、Symbian OS和Windows Mobile操作系統，其他版本支持Windows、Linux和FreeBSD操作系統。最新版本包括防病毒，防間諜軟體，防火牆，垃圾郵件過濾器等組件。它的網站免費提供簡單的在線查毒。

在2013年初，BitDefender推出了第一款具有常駐防護的殺毒軟體：Bitdefender antivirus free edition 官方網頁（英文）

中國的安全軟體360殺毒是使用BitDefender病毒庫的。

——來自維基百科

約17.5萬台中國聯網安全攝像頭可輕易被黑

深圳市麗歐電子有限公司提供監控和安全解決方案，包括IP攝像頭、感測器和報警器。

安全專家在由該公司生產的型號為iDoorbell和NIP-22兩款攝像頭中發現了多個緩衝溢出漏洞。不過研究人員認為該公司的其它型號攝像頭也存在安全問題，因為它們使用的是相同的固件。

安全專家指出，「在某些情況下，這些漏洞能導致在設備上執行遠程代碼。這種類型的漏洞同樣出現在控制感測器和報警器的網關上。」

這些安全攝像頭使用UPnP來自動打開路由器防火牆中的埠以便從互聯網訪問。根據Shodan搜索引擎搜索的存在漏洞的設備結果來看，研究人員在全球發現了10萬台至14萬台易受攻擊的設備。

報告指出，「搜索HTTP網路伺服器時發現10萬至14萬台設備，搜索RTSP伺服器（均易受攻擊）時發現的設備數量也類似。這些設備並不一定是相同的設備，因為某些設備只提供一種服務。我們預計設備的真實數量約為17.5萬台。」

專家注意到這兩種安全攝像頭型號易受兩種不同類型網路攻擊的影響。一種攻擊影響運行在攝像頭上的網路伺服器，另外一種影響RSTP（實時流協議）伺服器。

研究人員演示稱，利用安全攝像頭中的缺陷非常容易，任何人只要以默認憑證（即用戶名和密碼是 「user」 和 「user」 以及 「guest」 和 「guest」）登錄就能入侵訪問實時流的許可權。

研究人員還發現了一個可以利用的攝像頭緩衝溢出漏洞。

目前，深圳市麗歐電子有限公司並未就此事置評。

報告原文：