資安業者SEC Consult本周指出,他們發現由香港業者miSafes所生產的Mi-Cam家用監視器含有許多重大的安全漏洞,將可存取Mi-Cam拍攝的影片,甚至是操控Mi-Cam來偷拍室內情況,還能挾持Mi-Cam用戶的帳號,估計影響5.2萬名Mi-Cam用戶。

miSafes主要開發各式嬰兒或寵物監視器,Mi-Cam則屬於通用型的Wi-Fi家用監視器,它可錄製720P畫質的影片,支援雙向通話與錄影功能,也有可用來管理多台Mi-Cam的行動程式。

SEC Consult調查了Mi-Cam行動程式、Mi-Cam監視器與Mi-Cam雲端架構之間的通訊模式,發現了6個安全漏洞,包括薄弱的4位數預設密碼、有瑕疵的期間管理及不安全的直接物件參考、不安全的密碼重設功能、可用的序列介面、舊版軟體,以及使用者帳號的曝露等。

上述漏洞將允許駭客取得足夠的Mi-Cam用戶資訊,以觀看由Mi-Cam拍攝的影片或與控制遭駭Mi-Cam裝置,還能接管使用者帳號。

SEC Consult從去年12月便企圖通知miSafes及中國的網路緊急應變中心(CERT),迄今皆未獲得任何的回應,使得該公司決定將漏洞資訊公諸於世。

包括嬰兒監視器在內的各種網路攝影機的資安問題在這幾年層出不窮,2014年時即有駭客入侵嬰兒監視器,還從遠端對著小孩喊叫,同年英國資訊委員辦公室亦曾警告駭客以預設憑證入侵了全球數以千計的網路攝影機,還設立一個直播網站供全球觀賞,專家則建議在製造商保護不周的狀態下,相關裝置用戶應養成良好的使用習慣,例如設定較強固的密碼,以及在不使用時關閉攝影機等。

SEC Consult還展示了一段攔截監視器影片訊號的示範影片

 

 


Advertisement

更多 iThome相關內容