小米攝像機(jī)被爆三連環(huán)漏洞 智能硬件安全隱患日漸升溫

小米智能攝像機(jī)的安全問題再度成為關(guān)注。昨日，國內(nèi)安全漏洞平臺(tái)烏云曝光其攝像機(jī)存在高危害等級(jí)漏洞,攻擊者可以利用該漏洞，在沒有用戶名、口令等認(rèn)證方式的條件下，遠(yuǎn)程控制小米攝像機(jī)，瀏覽視頻信息。

據(jù)悉,這是近期內(nèi)小米攝像機(jī)第三次被曝光存在漏洞問題,此前,另外一家國內(nèi)安全平臺(tái)360攻防實(shí)驗(yàn)室已經(jīng)發(fā)布漏洞通知并得到了小米官方回應(yīng)。

圖1：烏云平臺(tái)曝光小米攝像機(jī)漏洞問題

據(jù)了解，此前兩次漏洞是由360漏洞攻防實(shí)驗(yàn)室發(fā)現(xiàn)，類別分別是應(yīng)用管理程序可以通過web界面，以root權(quán)限執(zhí)行任意系統(tǒng)命令;在非授權(quán)情況下獲得攝像頭視頻文件以及家庭wifi密碼。烏云此次曝光的的“命令執(zhí)行補(bǔ)丁繞過”漏洞與上兩者基本相同。

對(duì)此，小米公司在收到第一次漏洞報(bào)告當(dāng)日，就由小米公司智能產(chǎn)品的合作方上海小蟻科技有限公司在微博上發(fā)出聲明，稱產(chǎn)品使用動(dòng)態(tài)隨機(jī)密碼機(jī)制，且與“烏云”存在合作關(guān)系，能“實(shí)時(shí)監(jiān)測(cè)產(chǎn)品漏洞”;報(bào)告中的漏洞僅在早期版本中存在，現(xiàn)已修復(fù)，并呼吁用戶盡快升級(jí)。

一周后，聲稱已經(jīng)修復(fù)漏洞，不存在安全隱患的小米攝像機(jī)再度被烏云平臺(tái)披露存在高危害等級(jí)漏洞。同時(shí)，漏洞發(fā)現(xiàn)者發(fā)出通牒，廠商若不及時(shí)認(rèn)領(lǐng)，關(guān)乎萬人隱私安全的漏洞將于3月26日被公開。該位白帽子在漏洞描述中稱，小米攝像機(jī)隱患被曝光后，官博發(fā)布了補(bǔ)丁升級(jí)，于是該用戶拿到固件后分析補(bǔ)丁尋找漏洞方位，但之后卻發(fā)現(xiàn)漏洞并未被修復(fù)。因此，白帽子在漏洞描述的言語上明顯透露出對(duì)小米攝像機(jī)所打補(bǔ)丁的不滿。

圖2：友商披露漏洞，小米攝像頭遭遇尷尬

令人意外的是，小米攝像頭合作方小蟻科技曾在官方微博中為其貼上與最權(quán)威安全機(jī)構(gòu)“烏云”存在合作的標(biāo)簽。而此次被合作方烏云曝光安全漏洞，想必小米攝像頭的處境夠?qū)擂巍?/p>

對(duì)于小米攝像機(jī)接二連三的被曝光存在漏洞，有媒體認(rèn)為，并非是小米不具備做好產(chǎn)品的能力，而是缺乏核心的安全能力。雷軍曾發(fā)微博稱“歡迎友商監(jiān)督”，此前對(duì)360漏洞實(shí)驗(yàn)室的提示不以為然，此次小米合作方烏云的揭底應(yīng)該算是真正的“友商監(jiān)督”了，那小米接下來該怎么做呢?畢竟用戶的利益至上，像攝像機(jī)這樣的智能產(chǎn)品，安全性是第一優(yōu)先考慮因素吧?