iLnkP2P 存在严重漏洞,全球超200万硬件设备受影响

栏目: 编程工具 · 发布时间: 5年前

内容简介:数百个品牌的网络摄像头、婴儿监视器、智能门铃和数字录像机中存在严重的漏洞,攻击者可以利用漏洞劫持设备并时刻监视他们的主人。这绝不是耸人听闻。近日,又有多款物联网设备因为安全性问题被推在舆论的风口浪尖。

数百个品牌的网络摄像头、婴儿监视器、智能门铃和数字录像机中存在严重的漏洞,攻击者可以利用漏洞劫持设备并时刻监视他们的主人。这绝不是耸人听闻。

早在2017年 GeekPwn 大会上, 看雪智能硬件 小组成员王启泽就成功攻破并控制摄像头,并在同年“看雪安全开发者峰会”上进行了课题名为《从漏洞中来,到漏洞中去——一种以 IoT 漏洞对抗僵尸网络的方法》的精彩演讲,为大家揭秘了物联网设备比较突出的安全问题。

近日,又有多款物联网设备因为安全性问题被推在舆论的风口浪尖。

你可能已经被监控了

安全研究员 Paul Marrapese 发现一款深圳企业所开发的 P2P  通信软件—— iLnkP2P  存在严重的安全漏洞,编号为 (CVE-2019-11219)iLnkP2P 枚举漏洞和 CVE 编号 (CVE-2019-11220)iLnkP2P 认证漏洞,远程攻击者可利用该漏洞拦截用户发送到设备的明文形式的流量。

Paul Marrapese 表示: iLnkP2P  设备没有提供任何验证或加密,很容易被枚举破解,允许攻击者与这些联网设备建立直接连接,绕过防火墙的限制。

iLnkP2P  被广泛用于安全摄像头和网络摄像头、婴儿监视器、智能门铃和数字录像机,它允许用户从任何地方简单快捷的访问设备。用户只需要下载移动应用,扫描设备上的二维码或六位数  ID

目前为止,互联网上已发现超过 200 万个易受攻击的使用名为 iLnkP2P 的组件设备,包括由 HiChip,TENVIS,SV3C,VStarcam,Wanscam,NEO Coolcam,Sricam,Eye Sight和HVCAM 分发的设备。其中 39% 位于中国, 19% 位于欧洲,还有 7% 在美国。

iLnkP2P 存在严重漏洞,全球超200万硬件设备受影响

几乎半数存在漏洞的设备是海芯威视生产的,它的设备 ID  使用了前缀 FFFF、GGGG、HHHH、IIII、MMMM 和 ZZZZ 。 

iLnkP2P 存在严重漏洞,全球超200万硬件设备受影响

由于 iLnkP2P 用于多个品牌的物联网设备,因此,识别易受攻击的设备十分困难。

官方至今未发布这两个漏洞的修复补丁。研究人员已通知国家互联网应急中心 (CERT)、iLnk 及6家主要供应商,暂未得到回复。专家建议用户可通过识别设备特定序列号 (UID) 避免购买或使用受影响设备。

IoT安全不容忽视

近两年,物联网设备的安全问题已经对互联网安全造成了严重的威胁。然而我们应如何防御物联网设备带来的安全问题呢?

1、在监管层面,加强监管落实,推动物联网领域的安全标准制订。建议加强整体行业安全管理,建立安全性合规性检测机制,提高行业准入门槛,约束发展乱象,从安全框架体系、安全测评、风险评估、安全防范、安全处置方案等方面推动标准规范制订和落地。

2、在产业层面,推动构建物联网全生命周期立体防御体系。在硬件、操作系统、通信技术、云端服务器、数据库等各个模块之间做好统一的安全体系建设,从开发到制造、集成,把安全设计融入到物联网产品生命周期每个步骤,从芯片到硬件、软件、系统,将安全防护作为物联网每个环节必要的配套手段,推动整个产业对安全需求从被动转为主动,让安全紧跟产业发展步伐。

3、在技术层面,加快物联网安全技术发展及防范技术研究。建议设备厂商、研究机构等加大对物联网软硬件、操作系统、通信协议、云平台等方面的安全技术的关注力度,研发有效的安全威胁监测发现技术和安全防护技术,团结行业力量打造物联网安全生态。

4、在宣传层面,普及信息安全知识,提高安全意识。建议企业树立正确的发展观念,同步重视网络信息安全,同时对物联网从业人员进行安全知识普及和技术培训,提高从业人员的安全意识和知识技能。此外,建议提高用户网络信息安全意识,在挑选使用物联网产品的同时注重安全防范。

来源:solidot.org、知乎

- End -

iLnkP2P 存在严重漏洞,全球超200万硬件设备受影响

公众号ID:ikanxue

官方微博:看雪安全

商务合作:wsc@kanxue.com

点击下方“阅读原文”,查看更多资讯


以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

Windows核心编程(第5版)

Windows核心编程(第5版)

Jeffrey Richter、Christophe Nasarre / 葛子昂、周靖、廖敏 / 清华大学出版社 / 2008-9 / 99.00元

这是一本经典的Windows核心编程指南,从第1版到第5版,引领着数十万程序员走入Windows开发阵营,培养了大批精英。. 作为Windows开发人员的必备参考,本书是为打算理解Windows的C和C++程序员精心设计的。第5版全面覆盖Windows XP,Windows Vista和Windows Server 2008中的170个新增函数和Windows特性。书中还讲解了Windows......一起来看看 《Windows核心编程(第5版)》 这本书的介绍吧!

JSON 在线解析
JSON 在线解析

在线 JSON 格式化工具

SHA 加密
SHA 加密

SHA 加密工具

XML、JSON 在线转换
XML、JSON 在线转换

在线XML、JSON转换工具