小米智能攝像機的安全問題再度成為關注。昨日,國內安全漏洞平臺烏云曝光其攝像機存在高危害等級漏洞,攻擊者可以利用該漏洞,在沒有用戶名、口令等認證方式的條件下,遠程控制小米攝像機,瀏覽視頻信息。
據悉,這是近期內小米攝像機第三次被曝光存在漏洞問題,此前,另外一家國內安全平臺360攻防實驗室已經發布漏洞通知并得到了小米官方回應。
圖1:烏云平臺曝光小米攝像機漏洞問題
據了解,此前兩次漏洞是由360漏洞攻防實驗室發現,類別分別是應用管理程序可以通過web界面,以root權限執行任意系統命令;在非授權情況下獲得攝像頭視頻文件以及家庭wifi密碼。烏云此次曝光的的“命令執行補丁繞過”漏洞與上兩者基本相同。
對此,小米公司在收到第一次漏洞報告當日,就由小米公司智能產品的合作方上海小蟻科技有限公司在微博上發出聲明,稱產品使用動態隨機密碼機制,且與“烏云”存在合作關系,能“實時監測產品漏洞”;報告中的漏洞僅在早期版本中存在,現已修復,并呼吁用戶盡快升級。
一周后,聲稱已經修復漏洞,不存在安全隱患的小米攝像機再度被烏云平臺披露存在高危害等級漏洞。同時,漏洞發現者發出通牒,廠商若不及時認領,關乎萬人隱私安全的漏洞將于3月26日被公開。該位白帽子在漏洞描述中稱,小米攝像機隱患被曝光后,官博發布了補丁升級,于是該用戶拿到固件后分析補丁尋找漏洞方位,但之后卻發現漏洞并未被修復。因此,白帽子在漏洞描述的言語上明顯透露出對小米攝像機所打補丁的不滿。
圖2:友商披露漏洞,小米攝像頭遭遇尷尬
令人意外的是,小米攝像頭合作方小蟻科技曾在官方微博中為其貼上與最權威安全機構“烏云”存在合作的標簽。而此次被合作方烏云曝光安全漏洞,想必小米攝像頭的處境夠尷尬。
對于小米攝像機接二連三的被曝光存在漏洞,有媒體認為,并非是小米不具備做好產品的能力,而是缺乏核心的安全能力。雷軍曾發微博稱“歡迎友商監督”,此前對360漏洞實驗室的提示不以為然,此次小米合作方烏云的揭底應該算是真正的“友商監督”了,那小米接下來該怎么做呢?畢竟用戶的利益至上,像攝像機這樣的智能產品,安全性是第一優先考慮因素吧?
