大事件!索尼安防摄像头被爆存后门漏洞
- 来源:快科技 作者:万南
- 2016/12/9 18:30:1627755
近日,安全公司SEC Consult曝出了索尼安防摄像头的后门漏洞,竟然影响了高达80款索尼“IPELAENGINE”的网络摄像头产品。
大事件!索尼安防摄像头被爆存后门漏洞
IPELAENGINE是索尼2012年推出的闭路视频监控引擎,集成ExmorCMOS,号称业界优画质,被很多商业机构机构采用,甚至获评世界佳安防系统。
在就在新固件中,SEC发现了两大后门——
1、Hardcoded密码和root账户
学过编程应该知道,Hardcoded也就是硬编码,并非变量,是写死的固定内容,SEC开发的工具软件IoT侵入者于是便通过穷举法来获取到密码内容。
同时,SEC还发现了隐藏的root口令,达到让所有人以超级管理员身份登录。
2、两个Debugging账户
索尼挖的坑还不止与此。索尼为固件修复留了两个debug调试账户,一个用户名“primana”密码“primana”,还有一个用户名“debug”密码“popeyeConnection”。
debug账户因为可以远程访问,所以危险系数更高,比如被不法分子用集群服务器攻击。
SEC已经将报告递交索尼,后者也在新固件对上述问题进行了修复。至于为什么要留后门以及到底用来干什么,索尼拒绝回复。
已知受影响的设备清单——