新聞中心

EEPW首頁 > 消費電子 > 業(yè)界動態(tài) > 號稱安防“世界最強”的索尼攝像頭藏后門?

號稱安防“世界最強”的索尼攝像頭藏后門?

作者: 時間:2016-12-08 來源:驅(qū)動之家 收藏
編者按:后門是軟硬件產(chǎn)品中比較敏感的存在,也許你可以說這是為了 debug、為了法律目的(政府的合法入侵,甚至是用戶側(cè)的 admin 高級控制臺,但一旦被歹人了利用,后患無窮。

  近日,安全公司 SEC Consult 曝出了安防的后門漏洞,竟然影響了高達 80 款 “IPELA ENGINE” 的網(wǎng)絡(luò)產(chǎn)品。

本文引用地址:http://2s4d.com/article/201612/341349.htm

  IPELA ENGINE 是 2012 年推出的閉路視頻監(jiān)控引擎,集成 Exmor CMOS,號稱業(yè)界最優(yōu)畫質(zhì),被很多商業(yè)機構(gòu)、警用安保等機構(gòu)采用,甚至獲評世界最佳安防系統(tǒng)。

  在就在最新固件中,SEC 發(fā)現(xiàn)了兩大后門——

  1、Hardcoded 密碼和 root 賬戶

  學(xué)過編程應(yīng)該知道,Hardcoded 也就是硬編碼,并非變量,是寫死的固定內(nèi)容,SEC 開發(fā)的工具軟件 IoT 侵入者于是便通過窮舉法來獲取到密碼內(nèi)容。

  同時,SEC 還發(fā)現(xiàn)了隱藏的 root 口令,達到讓所有人以超級管理員身份登錄。

  2、兩個 Debugging 賬戶

  索尼挖的坑還不止與此。索尼為固件修復(fù)留了兩個 debug 調(diào)試賬戶,一個用戶名 “primana” 密碼 “primana”,還有一個用戶名 “debug” 密碼 “popeyeConnection”。

  debug 賬戶因為可以遠程訪問,所以危險系數(shù)更高,比如被不法分子用集群服務(wù)器攻擊。

  SEC 已經(jīng)將報告遞交索尼,后者也在新固件對上述問題進行了修復(fù)。至于為什么要留后門以及到底用來干什么,索尼拒絕回復(fù)。

  已知受影響的設(shè)備清單——

號稱安防“世界最強”的索尼攝像頭藏后門?


關(guān)鍵詞: 索尼 攝像頭

評論


相關(guān)推薦

技術(shù)專區(qū)

關(guān)閉