據媒體(tǐ)報(bà✘←★•o)道(dào)，研究人(rén)員(yuán)發現(xiàn)P2P✘×↑通(tōng)信軟件(jiàn)組件(jià>≥→n)iLnkP2P存在嚴重安全漏洞，允許黑(hēi)客α→×遠(yuǎn)程控制(zhì)、訪問(wèn)物(wù)Ω≠∑✔聯網設備，全球200多(duō)萬台設備受影(yǐnε<g)響。
圖片來(lái)源于pixabay
據悉，該軟件(jiàn)由一(yī)家(jiā)深圳公↕€₩司開(kāi)發，被廣泛應用(yòng)于嬰兒××‌&(ér)監視(shì)器(qì)、智能(né₩≠↔ng)門(mén)鈴、數(shù)字錄像機(jī)↓♠±λ、安全攝像頭和(hé)網絡攝像頭等設備中，用(yòng)戶僅需下<®(xià)載移動應用(yòng)，掃描設備上(shౕng)的(de)二維碼或輸入六位數(shù)☆←♣ID，即可(kě)從(cóng)任意地(dì)方快(kuài)速訪‌♣‌γ問(wèn)設備。通(tōng)過審查該公司官™δδ★網的(de)HTML源代碼，研究人(rén)員↔♥©(yuán)發現(xiàn)該網站(zhàn)遭到(d"∏γ←ào)黑(hēi)客模糊腳本攻擊，已被重定向到(dàσ↓o)中文(wén)遊戲網站(zhàn)。¶∏
此次曝光(guāng)的(de)漏洞由研究人(±σσ♦rén)員(yuán)Paul Marrapese發現(xiàn)， ‍λ分(fēn)别是(shì)枚舉漏洞CVE-2019-1121​ 9和(hé)認證漏洞CVE-2019-1122ε <>0，允許黑(hēi)客快(kuài)速發現(₹☆ xiàn)在線設備，繞過防火(huǒ)牆限制(zhì)直接連接聯網設備，執行(÷©§βxíng)中間(jiān)人(rén)攻擊并遠(yuǎn)程控制(zhì)設備∑☆。
圖片來(lái)源于pixabay
Marrapese通(tōng)過構建概念驗證攻擊确認，僅需獲取設備特定₹<∑λ序列号（UID），即可(kě)發送惡意消息取代設備發出的(de)任意消‍>息，以純文(wén)本形式通(tōng)過γ "§客戶端身(shēn)份驗證，獲取設備憑證。然而，因為(wèi)±"大(dà)多(duō)數(shù)用(yòng)戶都(dōu)使用(yòng&&✔)出廠(chǎng)默認密碼運行(xíng)'∞設備，因此即使黑(hēi)客未攔截設備密碼，也‍₽¥♠(yě)可(kě)使用(yòng)物(wù)聯網&∑δ設備生(shēng)産廠(chǎng)商的(de)默認憑證接管♥♠↑π數(shù)百萬台設備。
受該漏洞影(yǐng)響的(de)設備包括HiChip、TENVIS、SVσ←≥3C、VStarcam、Wanscam、NEO Coolca↔​♦£m、Sricam、Eye Sight和(hé↓β↕)HVCAM。其中近(jìn)半數(shù)ε​₹由HiChip生(shēng)産，設備ID前綴為(w≈∞÷↔èi)FFFF、GGGG、HHHH、IIII、MMMM和(←"hé)ZZZZ，約39%位于中國(guó)，19%位于δ 歐洲，還(hái)有(yǒu)7%位于美(měi)國(g∑§λβuó)。
圖片來(lái)源于unsplash
截至目前，暫無切實可(kě)行(xíng)的(dΩ®e)方法關閉受影(yǐng)響設備上(sh♦✔∏Ωàng)的(de)P2P功能(néng)，研究人(rén)員∑π$"(yuán)已通(tōng)知(zhī)國 ±↔☆(guó)家(jiā)互聯網應急中心（CERT）、iLnk及6家(jiā)主要β₽(yào)供應商，暫未得(de)到(dào)回複。專∞ ♦∞家(jiā)建議(yì)用(yòng)戶可(kě)通(tōng)過↑ ↕識别設備特定序列号（UID）避免購(gòu)買或使用(→ γyòng)受影(yǐng)響設備。