近日,國內權威安全平臺360攻防實驗室發布漏洞報告,小米公司智能硬件產品——小蟻攝像機存在高危漏洞,無須密碼也能遠程控制,嚴重危害用戶隱私安全。
該報告稱,小蟻攝像機應用管理程序存在遠程命令執行漏洞,可以通過web界面以root權限執行任意系統命令(無需任何web權限),攻擊者可以通過該漏洞,無需用戶名、口令等認證方式,遠程控制小蟻攝像頭,瀏覽視頻信息。如果點擊黑客惡意構造的鏈接地址,黑客還可以盜走wifi密碼,嚴重危害到家庭的隱私及公共安全。同時可以利用小蟻攝像頭對路由器進行關聯操作,攻擊家庭內網其它智能設備。
圖:小蟻攝像頭被爆存在高危漏洞
對于小蟻攝像機存在的安全漏洞,“小蟻科技”在今日下午發表官方聲明稱,小蟻攝像頭確實存在遠程執行的漏洞,目前升級的新版本已經解決了這個問題。對于存在漏洞這個事件,小米董事長兼ceo雷軍也轉發了“小蟻科技”的聲明,表示歡迎網友監督。
不過,360網絡攻防實驗室隨后表示,小蟻攝像機的最新版本存在另一個高危的遠程命令執行漏洞細節,已在2月2日通報給小米安全中心。
業內人士認為,智能攝像頭產品對安全性的要求較高,雖然小米發布聲明將此漏洞報告稱為友商所為,但是正視自身產品的安全問題,保護用戶的利益才是當下之急。
