回归最本质的信息安全

;

三星SmartCam相机被曝存在十多个安全漏洞,可被远程控制、修改视频画面

2018年3月14日发布

48,413
0
0

导语:据了解,三星SmartCam相机受到十多个安全漏洞的影响,其中包括可以通过远程控制设备的严重漏洞。目前受此次漏洞影响的摄像机广泛用于监控之中,他们可以通过具有夜视功能的动作传感器进行录制,并可允许用户通过内置扬声器与被监控人员进

Hanwha_smartcam.png

据了解,三星SmartCam相机受到十多个安全漏洞的影响,其中包括可以通过远程控制设备的严重漏洞。目前受此次漏洞影响的摄像机广泛用于监控之中,他们可以通过具有夜视功能的动作传感器进行录制,并可允许用户通过内置扬声器与被监控人员进行对话。该产品可以通过设备远程控制,所有录制的视频都存储在云端。

三星电子于2014年将其三星Techwin安全部门出售给韩国联合企业韩华集团。然而,到目前为止韩华的SmartCam产品仍被命名为“三星”。

漏洞详情分析

研究人员分析了这些设备并发现了大量的缺陷。 Kaspersky 实验室的高级安全研究员Vladimir Dashchenko上周在SAS安全分析师峰会上披露了这些问题。该安全公司还在周一发布了一篇博客文章,描述这些调查结果。

由于是使用HTTP进行的软件更新,所以操作一般基于Web的用户界面,以root权限执行远程代码,拒绝服务(DoS)和暴力破解等攻击,并且可以利用这些漏洞来拦截流量,绕过认证,强制对管理员帐户进行攻击。

专家已经确定了大约有2000个IP地址与暴露于互联网的摄像机存在关联,但他们认为,由于漏洞可以被利用,所以即使是不能直接从网络访问的设备可能也会受到影响,因此实际的影响数量会比 SmartCam云基础架构上的更高。

另外,卡巴斯基发现的漏洞之一可以用于注册尚未注册的相机。 这不仅会阻止合法的所有者注册使用相机,还会让黑客控制已经注册的相机。

由于云基础架构中存在漏洞,所以攻击者可以伪造更新服务器从而将恶意软件推送到设备。专家表示,经过修改的固件可以为目标摄像机提供访问权限,以此作为网络设备的入口点。

卡巴斯基研究人员解释说:“攻击者可以利用密码生成算法中的漏洞重置密码,并修改克隆相机的固件。然后禁用受害者相机的远程设备。因此,受害者会收到来自攻击者克隆相机发来的视频信号”。

目前,该供应商在收到通知不久后就修补了许多漏洞,卡巴斯基只公布了已修复的漏洞细节。

本文翻译自:https://www.securityweek.com/remotely-exploitable-flaws-found-smartcam-cameras,如若转载,请注明原文地址: http://www.4hou.com/info/news/10696.html

点赞 0
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

Change

这个人很懒,什么也没留下

发私信

发表评论