安全性太差，中国一物联网公司遭SEC点名批评

又一家物联网设备供应商被爆出现了基本的安全漏洞，让攻击者有机可趁。

这一次出现问题的是中国监控摄像机制造商雄迈，因其XMEye P2P云服务的安全性较差而受到了美国证券交易委员会（SEC）研究人员的点名批评。其中，研究人员指出的问题包括暴露的默认凭证以及可通过该服务提供的无符号固件更新。

因此，美国证券交易委员会警告称，这些漏洞可能会使摄像头受到攻击，从对其所有者展开间谍活动，到执行僵尸网络指令，甚至成为更大规模网络入侵的入口点。而针对这些漏洞， SEC表示，“我们的建议是完全停止使用雄迈和雄迈OEM设备。”

随后，SEC补充道，“该公司的安全记录很糟糕，此前在恶意软件Mirai以及其他各种物联网僵尸网络事件中都曾扮演过一定的角色，而且有些漏洞是在2017年就已公布的，但在最近的固件版本中仍未进行修复。”

默认情况下，P2P云服务会允许用户通过网页浏览器或iOS / Android应用程序远程连接到设备，无需本地网络连接就可控制硬件。但不幸的是，SEC解释称，设备本身和服务的漏洞，如未加密的连接和默认密码（用户在设置设备时不需要更改默认值）意味着在许多情况下，攻击摄像头是非常容易成功的。

此外，SEC还指出，雄迈设备不需要进行有符号固件更新，这意味着攻击者可能会安装带有恶意软件的固件更新来构建僵尸网络，或者对本地网络展开进一步攻击。研究人员表示，“这可能是通过修改固件更新中所包含的文件系统或在固件更新文件中修改‘InstallDesc’文件来实现的。”其中，InstallDesc是一个文本文件，包含着在更新期间执行的命令。

最重要的是，SEC指责雄迈无视安全警告，同时也没有采取任何基本预防措施。

该部门声称雄迈不仅忽视了他们的最新警告，其糟糕的安全状况还曾成为了臭名昭着的Mirai僵尸网络的“素材”。因此，在这种情况下，研究人员建议公司停止使用基于雄迈硬件的OEM硬件。

公开信息显示，  杭州雄迈信息技术有限公司创立于2008年，是一家集安防视频监控类产品研发、生产和销售于一体的高科技企业，主要产品包括安全监控系统、闭路电视及相关摄像设备的元件(主板、网络模块等)。

声明：本文来自安全内参，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如需转载，请联系原作者获取授权。