安全企業ESET近日披露了一款D-Link的雲計算監視器含有眾多安全漏洞,例如採用未加密的安全傳輸、允許黑客篡改固件、或者是暴露了它的HTTP傳輸端口,研究人員表示,他們去年8月就知會D-Link,但迄今只有一個漏洞被修補。
ESET所分析的設備為D-Link DCS-2132L,它是夜視型的無線網絡攝影機,定位為雲計算監視器,在臺灣市場的售價為4,999元新臺幣。
研究人員指出,該雲計算監視器最嚴重的問題在於,它在傳輸圖片時是未加密的,不管是攝影機與雲計算之間,或是雲計算與客戶端程序之間,將允許黑客執行中間人(man-in-the-middle,MitM)攻擊,攔截監視器所拍攝的畫面。
至於客戶端程序與監視器之間則是藉由Port 2048上的代理服務器,通過定製化D-Link信道協議的TCP信道進行通信,但這些信道中只有部分流量有加密,而諸如對IP/MAC地址的請求、版本信息、視頻與音頻串流等內容都未加密。
另一個重要漏洞,則是藏匿在瀏覽器插件程序Mydlink Services中,該插件程序允許用戶利用瀏覽器來管理TCP信道的創建與即時畫面的播放,也負責利用信道轉發對視頻與音頻串流的請求,所含的漏洞,允許系統上的任何應用程序或用戶,無需身份認證就能訪問該監視器的網頁接口,也能用來置換設備固件。
D-Link DCS-2132L上的Universal Plug and Play功能,還會把Port 80的HTTP接口暴露在公開網絡上,以Shodan搜索的結果發現全球有接近1,600個設備的Port 80暴露在外。
ESET表示,該公司在去年8月就向D-Link通報研究結果,D-Link很快就修補了Mydlink Services漏洞,但固件從2016年11月就未更新,也未修補其它漏洞,提醒用戶在利用雲計算監視器保護家中安全景也需留意設備的安全風險。
閱讀更多 十輪網 的文章
