OEM摄像头严重漏洞使全球200万设备易受远程入侵

据外媒报道，一个P2P通信软件组件iLnkP2P中存在严重的安全漏洞，黑客可劫持并访问近200万台物联网设备，并远程控制它们。

由某公司开发的P2P软件组件iLnkP2P，被部署在数百万个物联网设备上。iLnkP2P用于安全摄像头和网络摄像头、婴儿监视器、智能门铃和数字录像机中，攻击者可利用漏洞进行窃听、窃取密码、远程入侵。

发现该漏洞的研究人员Paul Marrapese表示，该漏洞影响了全球200万台物联网设备，这些设备包括HiChip、TENVIS、SV3C、VStarcam、Wanscam、NEO Coolcam、Sricam、Eye Sight和HVCAM等。

由于iLnkP2P用于多个品牌的物联网设备，这使得识别易受攻击的设备变得困难，但是特定序列号（UID）可以用来识别这些脆弱的设备。

研究人员表示，每个ID开头都有一个独特的字母前缀，用来标识生产该设备的制造商，许多公司都给包含iLnkP2P软件的设备贴上了白色标签。

包含以下前缀的设备都是脆弱的。

据称，易受攻击的物联网产品有39%在中国，19%在欧洲，7%在美国。研究人员通知了部分设备供应商，但是暂时没有得到回复。

CVE-2019-11219是iLnkP2P的枚举漏洞，允许攻击者快速发现在线设备。

CVE-2019-11220指iLnkP2P的认证漏洞，允许攻击者拦截设备的连接，执行中间人攻击并远程控制设备。

声明：本文来自E安全，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。