后門是軟硬件產品中比較敏感的存在��,也許你可以說這是為了debug����、為了法律目的(政府的合法入侵)甚至是用戶側的admin高級控制臺,但一旦被歹人了利用��,后患無窮�。
近日�,安全公司SEC Consult曝出了索尼安防攝像頭的后門漏洞,竟然影響了高達80款索尼“IPELA ENGINE”的網絡攝像頭產品�����。
IPELA ENGINE是索尼2012年推出的閉路視頻監(jiān)控引擎����,集成Exmor CMOS��,號稱業(yè)界最優(yōu)畫質��,被很多商業(yè)機構���、警用安保等機構采用��,甚至獲評世界最佳安防系統(tǒng)���。
在就在最新固件中,SEC發(fā)現了兩大后門——
1����、Hardcoded密碼和root賬戶
學過編程應該知道,Hardcoded也就是硬編碼���,并非變量�,是寫死的固定內容���,SEC開發(fā)的工具軟件IoT侵入者于是便通過窮舉法來獲取到密碼內容�。
同時,SEC還發(fā)現了隱藏的root口令�,達到讓所有人以超級管理員身份登錄。
2�����、兩個Debugging賬戶
索尼挖的坑還不止與此����。索尼為固件修復留了兩個debug調試賬戶,一個用戶名“primana”密碼“primana”�,還有一個用戶名“debug”密碼“popeyeConnection”。
debug賬戶因為可以遠程訪問�,所以危險系數更高,比如被不法分子用集群服務器攻擊����。
SEC已經將報告遞交索尼,后者也在新固件對上述問題進行了修復�����。至于為什么要留后門以及到底用來干什么���,索尼拒絕回復�����。
已知受影響的設備清單——
京公網安備 11010502041587號