近日,网络安全专家发现一款深圳企业所开发的P2P通信软件iLnkP2P存在严重的安全漏洞,允许黑客远程控制、访问物联网设备,全球200多万台设备受影响。
一、漏洞详情
iLnkP2P被广泛用于安全摄像头和网络摄像头、婴儿监视器、智能门铃和数字录像机,它允许用户从任何地方简单快捷的访问设备。用户只需要下载移动应用,扫描设备上的二维码或六位数ID,即可从任意地方快速访问设备。此次曝光的漏洞,分别是枚举漏洞CVE-2019-11219和认证漏洞CVE-2019-11220,允许黑客快速发现在线设备,绕过防火墙限制直接连接联网设备,执行中间人攻击并远程控制设备。攻击者仅需获取设备特定序列号(UID),即可发送恶意消息取代设备发出的任意消息,以纯文本形式通过客户端身份验证,获取设备凭证。而大多数用户都使用出厂默认密码运行设备,因此即使黑客未拦截设备密码,即可使用物联网设备生产厂商的默认凭证接管数百万台设备。
二、影响范围
受该漏洞影响的设备包括HiChip、TENVIS、SV3C、VStarcam、Wanscam、NEO Coolcam、Sricam、Eye Sight和HVCAM。其中近半数由HiChip生产,设备ID前缀为FFFF、GGGG、HHHH、IIII、MMMM和ZZZZ,约39%位于中国,19%位于欧洲,还有7%位于美国。
三、公安机关网安部门建议
目前,暂无切实可行的方法关闭受影响设备上的P2P功能,公安机关网安部门建议:一、用户可通过识别设备特定序列号(UID)避免购买或使用受影响设备;二、已购买相关产品的用户,建议及时断开网络连接,避免个人隐私泄露;三、如发现设备遭黑客入侵,造成个人隐私在网上传播,请及时向公安机关进行报备。
版权声明:本文图片和内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送联系客服 举报,一经查实,本站将立刻删除,请注明出处:https://www.4kpp.com/86309.html
