行業動态
當前位置: 電子遊戲 > 行業動态 >
D-Link雲計算監視器含有拍攝畫面可遭攔截及篡改固件的安全漏洞

  安全企業ESET近日披露了一款D-Link的雲計算監視器含有衆多安全漏洞,例如采用未加密的安全傳輸、允許黑客篡改固件、或者是暴露了它的HTTP傳輸端口,研究人員表示,他們去年8月就知會D-Link,但迄今隻有一個漏洞被修補。

  ESET所分析的設備為D-Link DCS-2132L,它是夜視型的無線網絡攝影機,定位為雲計算監視器,在台灣市場的售價為4,999元新台币。

  研究人員指出,該雲計算監視器最嚴重的問題在于,它在傳輸圖片時是未加密的,不管是攝影機與雲計算之間,或是雲計算與客戶端程序之間,将允許黑客執行中間人(man-in-the-middle,MitM)攻擊,攔截監視器所拍攝的畫面。

  至于客戶端程序與監視器之間則是借由Port 2048上的代理服務器,通過定制化D-Link信道協議的TCP信道進行通信,但這些信道中隻有部分流量有加密,而諸如對IP/MAC地址的請求、版本信息、視頻與音頻串流等内容都未加密。

  另一個重要漏洞,則是藏匿在浏覽器插件程序Mydlink Services中,該插件程序允許用戶利用浏覽器來管理TCP信道的創建與即時畫面的播放,也負責利用信道轉發對視頻與音頻串流的請求,所含的漏洞,允許系統上的任何應用程序或用戶,無需身份認證就能訪問該監視器的網頁接口,也能用來置換設備固件。

  ESET表示,該公司在去年8月就向D-Link通報研究結果,D-Link很快就修補了Mydlink Services漏洞,但固件從2016年11月就未更新,也未修補其它漏洞,提醒用戶在利用雲計算監視器保護家中安全景也需留意設備的安全風險。



相關閱讀:電子遊戲