科技 > IT業(yè)界 > 正文

字號(hào)：大 中 小

烏云報(bào)聯(lián)想凈化器漏洞智能硬件成潛在危區(qū)

發(fā)布時(shí)間：2015-07-06 10:05:26 來源：光明網(wǎng) 作者：佚名責(zé)任編輯：王磊

烏云報(bào)聯(lián)想凈化器漏洞智能硬件成潛在危區(qū)

　　有用戶“宋兵甲”在國內(nèi)安全網(wǎng)絡(luò)反饋平臺(tái)WooYun（烏云）發(fā)布消息稱，聯(lián)想X330空氣凈化器繞過用戶綁定可任意控制他人設(shè)備漏洞。這一漏洞危害等級(jí)被標(biāo)注為“高”。

　　WooYun稱，該漏洞細(xì)節(jié)目前已通知廠商。截至目前，該漏洞狀態(tài)仍處于等待廠商處理中。

　　具體來說，該漏洞是使用錯(cuò)誤的設(shè)備密碼調(diào)用聯(lián)想X330凈化器的特定接口，服務(wù)器會(huì)返回正確的密碼，利用這個(gè)正確的設(shè)備密碼，就可以控制任意在線的X330設(shè)備。由于使用了同款A(yù)pp，該漏洞同時(shí)影響到Luftmed多款凈化器設(shè)備。

　　自從特斯拉被多次破解以來，智能硬件安全問題已引起行業(yè)內(nèi)人的注意。獵豹移動(dòng)安全專家李鐵軍表示，智能硬件漏洞挖掘?qū)⒊蔀樾聼狳c(diǎn)，并提示要謹(jǐn)慎看待智能家居產(chǎn)品。

　　事實(shí)上，“宋兵甲”此前也曾提交小米智能攝像機(jī)小蟻存在遠(yuǎn)程命令執(zhí)行漏洞。該攝像頭應(yīng)用管理程序存在遠(yuǎn)程命令執(zhí)行漏洞，可以通過Web界面以Root權(quán)限執(zhí)行任意系統(tǒng)命令（無需任何Web授權(quán)）。

　　漏洞作者提交了漏洞證明。截至目前，該漏洞狀態(tài)目前為“已通知廠商但廠商忽略漏洞”。與此同時(shí)，廠商的回應(yīng)是“無影響”。