行业动态
当前位置: 电子游戏 > 行业动态 >
D-Link云计算监视器含有拍摄画面可遭拦截及篡改固件的安全漏洞

  安全企业ESET近日披露了一款D-Link的云计算监视器含有众多安全漏洞,例如采用未加密的安全传输、允许黑客篡改固件、或者是暴露了它的HTTP传输端口,研究人员表示,他们去年8月就知会D-Link,但迄今只有一个漏洞被修补。

  ESET所分析的设备为D-Link DCS-2132L,它是夜视型的无线网络摄影机,定位为云计算监视器,在台湾市场的售价为4,999元新台币。

  研究人员指出,该云计算监视器最严重的问题在于,它在传输图片时是未加密的,不管是摄影机与云计算之间,或是云计算与客户端程序之间,将允许黑客执行中间人(man-in-the-middle,MitM)攻击,拦截监视器所拍摄的画面。

  至于客户端程序与监视器之间则是借由Port 2048上的代理服务器,通过定制化D-Link信道协议的TCP信道进行通信,但这些信道中只有部分流量有加密,而诸如对IP/MAC地址的请求、版本信息、视频与音频串流等内容都未加密。

  另一个重要漏洞,则是藏匿在浏览器插件程序Mydlink Services中,该插件程序允许用户利用浏览器来管理TCP信道的创建与即时画面的播放,也负责利用信道转发对视频与音频串流的请求,所含的漏洞,允许系统上的任何应用程序或用户,无需身份认证就能访问该监视器的网页接口,也能用来置换设备固件。

  ESET表示,该公司在去年8月就向D-Link通报研究结果,D-Link很快就修补了Mydlink Services漏洞,但固件从2016年11月就未更新,也未修补其它漏洞,提醒用户在利用云计算监视器保护家中安全景也需留意设备的安全风险。



相关阅读:电子游戏