iLnkP2P 存在严重漏洞，全球超200万硬件设备受影响

数百个品牌的网络摄像头、婴儿监视器、智能门铃和数字录像机中存在严重的漏洞，攻击者可以利用漏洞劫持设备并时刻监视他们的主人。这绝不是耸人听闻。

早在2017年 GeekPwn 大会上， 看雪智能硬件 小组成员王启泽就成功攻破并控制摄像头，并在同年“看雪安全开发者峰会”上进行了课题名为《从漏洞中来，到漏洞中去——一种以 IoT 漏洞对抗僵尸网络的方法》的精彩演讲，为大家揭秘了物联网设备比较突出的安全问题。

近日，又有多款物联网设备因为安全性问题被推在舆论的风口浪尖。

你可能已经被监控了

安全研究员 Paul Marrapese 发现一款深圳企业所开发的 P2P  通信软件—— iLnkP2P  存在严重的安全漏洞，编号为 （CVE-2019-11219）iLnkP2P 枚举漏洞和 CVE 编号 （CVE-2019-11220）iLnkP2P 认证漏洞，远程攻击者可利用该漏洞拦截用户发送到设备的明文形式的流量。

Paul Marrapese 表示： iLnkP2P  设备没有提供任何验证或加密，很容易被枚举破解，允许攻击者与这些联网设备建立直接连接，绕过防火墙的限制。

iLnkP2P  被广泛用于安全摄像头和网络摄像头、婴儿监视器、智能门铃和数字录像机，它允许用户从任何地方简单快捷的访问设备。用户只需要下载移动应用，扫描设备上的二维码或六位数  ID 。

目前为止，互联网上已发现超过 200 万个易受攻击的使用名为 iLnkP2P 的组件设备，包括由 HiChip，TENVIS，SV3C，VStarcam，Wanscam，NEO Coolcam，Sricam，Eye Sight和HVCAM 分发的设备。其中 39% 位于中国， 19% 位于欧洲，还有 7% 在美国。

几乎半数存在漏洞的设备是海芯威视生产的，它的设备 ID  使用了前缀 FFFF、GGGG、HHHH、IIII、MMMM 和 ZZZZ 。 

由于 iLnkP2P 用于多个品牌的物联网设备，因此，识别易受攻击的设备十分困难。

官方至今未发布这两个漏洞的修复补丁。研究人员已通知国家互联网应急中心 （CERT）、iLnk 及6家主要供应商，暂未得到回复。专家建议用户可通过识别设备特定序列号 （UID） 避免购买或使用受影响设备。

IoT安全不容忽视

近两年，物联网设备的安全问题已经对互联网安全造成了严重的威胁。然而我们应如何防御物联网设备带来的安全问题呢？

1、在监管层面，加强监管落实，推动物联网领域的安全标准制订。建议加强整体行业安全管理，建立安全性合规性检测机制，提高行业准入门槛，约束发展乱象，从安全框架体系、安全测评、风险评估、安全防范、安全处置方案等方面推动标准规范制订和落地。

2、在产业层面，推动构建物联网全生命周期立体防御体系。在硬件、操作系统、通信技术、云端服务器、数据库等各个模块之间做好统一的安全体系建设，从开发到制造、集成，把安全设计融入到物联网产品生命周期每个步骤，从芯片到硬件、软件、系统，将安全防护作为物联网每个环节必要的配套手段，推动整个产业对安全需求从被动转为主动，让安全紧跟产业发展步伐。

3、在技术层面，加快物联网安全技术发展及防范技术研究。建议设备厂商、研究机构等加大对物联网软硬件、操作系统、通信协议、云平台等方面的安全技术的关注力度，研发有效的安全威胁监测发现技术和安全防护技术，团结行业力量打造物联网安全生态。

4、在宣传层面，普及信息安全知识，提高安全意识。建议企业树立正确的发展观念，同步重视网络信息安全，同时对物联网从业人员进行安全知识普及和技术培训，提高从业人员的安全意识和知识技能。此外，建议提高用户网络信息安全意识，在挑选使用物联网产品的同时注重安全防范。

来源：solidot.org、知乎

- End -

公众号ID：ikanxue

官方微博：看雪安全

商务合作：wsc@kanxue.com

↙ 点击下方“阅读原文”，查看更多资讯