高危漏洞可致海康威視攝像頭、DVR及賬戶被遠程劫持

海康威視于上個月修復了一個高危漏洞，該漏洞影響攝像頭、DVR及相關賬戶。 很多人用安全攝像頭都不帶改默認管理員用戶名和口令的——意味著只要知道去看哪兒，這些人的生活就是一場持續的現場直播。盡管海康威視在2017年1月引入了Hik-Connect云服務，但安全問題依然存在。 2017年5月，美國ICS-CERT就海康威視攝像頭可被輕易遠程利用的漏洞發布了咨詢意見。同年晚些時候，海康威視網絡攝像頭漏洞利用細節被公布后，一些用戶在屏幕上看到的是“HACKED（你被黑了）”字樣而不是預想中的監控視頻。 如今，海康威視又曝漏洞。這次的漏洞是hik-connect.com的身份認證安全問題。如果該漏洞被利用，攻擊者可訪問、操作并劫持其他用戶的設備。 該漏洞的發現者Stykas給海康威視DVR做固件更新時發現，Hik-connect云服務可以不用路由器端口轉發就直接訪問攝像頭，且cookie值缺乏有效驗證。他和小伙伴Lavdanis沒能找到從hik-vision.com輕松獲取其他用戶ID的方法，于是轉向使用“螢石”(Ezviz)。 “螢石”是什么呢？其介紹頁面上稱，這是海康威視這家全球最大視頻監視解決方案生產商旗下面向消費和家庭用戶的子公司。“螢石”建立在海康威視的專業技術和知識基礎上，旨在向消費和智能家居市場提供健壯的商業品質視頻產品。 “螢石”有個功能：只要知道用戶注冊時所用郵箱或電話，就可在無需該用戶同意的情況下將其添加為好友。 悄悄添加好友后，“被”好友用戶的ID也就無所遁形了。Stykas寫道：“于是，只要有郵箱、手機或用戶名，我們就能以別人的身份登錄，冒充他/她。” 如何利用海康威視的漏洞 該漏洞可被用于： ? 查看用戶的設備、實時視頻和回放。 ? 修改用戶的郵箱地址、電話號碼和口令，讓用戶無法訪問自己的設備。 ? 重置口令后接管用戶的賬戶，這樣即便用戶恢復出廠設置也無法在不聯系海康威視的情況下將攻擊者的賬戶解除綁定。 Stykas稱，“只要修改口令，就可以使用Hik-connect安卓App上的設備菜單，不用口令都可以管理設備(更新固件讓設備變成板磚一塊等等各種操作都可以)。” ? 在賬戶上添加共享，默默同步欣賞受害用戶設備上的畫面。 該漏洞的發現者并不清楚到底有多少臺攝像頭被注冊了： 光Google Play上就有超過100萬Hik-connect下載量，天知道蘋果的App Store還有多少。 漏洞報告是4月21日發送的，海康威視在4月24日發布了補丁。 Stykas對該漏洞做了事后分析： 如果你是開發人員，千萬別信任來自用戶的任何東西。過濾、檢查、清洗掉所有外部輸入。 如果你是終端用戶，請保持設備更新，并通過網絡分隔限制你的IoT設備。 這個漏洞就是個典型的例子，反映了本應提供額外安全特性（不用端口轉發，也沒有在互聯網上暴露IoT）的服務是怎么被人輕易反殺的。除了只用大品牌產品或根本不用這些設備，我們沒有別的辦法防止此類攻擊。大品牌當然也可能有問題，但其監管更好，也會對漏洞做出響應而不是直接無視。 來源：安全牛