- A+
所属分类:未分类
家庭监控摄像头具有硬编码凭证。
另一天,另一个物联网(IoT)问题:发现了Guardzilla家庭视频监控系统的设计缺陷,允许用户观看其他房主的Guardzilla视频。
Guardzilla多合一视频安全系统是一个家庭安全平台,提供室内视频监控。 GZ501W型号相机包含一个共享的, 硬编码的 Amazon S3凭证,用于在亚马逊云中存储已保存的视频数据 - 因此,Guardzilla多功能一体化视频安全系统的所有用户都拥有相同的密码,因此可以互相访问保存家庭视频。 并且,任何未经身份验证的用户都可以通过互联网从任何系统收集数据,只要他们知道存储详细信息即可。
“嵌入式S3凭证可以无限制地访问为该帐户配置的所有S3存储桶,”Rapid7研究人员在周四的帖子中解释道。 “这是通过静态分析设备附带的固件来确定的。 解压缩固件并破解root密码'GMANCIPC'后,恢复了Amazon S3访问密钥。“
使用访问密钥,攻击者可以连接到配置的Amazon S3帐户并访问与该服务关联的各种存储桶。 其中包括挑衅性地命名为“免费视频存储”,“免费视频存储持久”,“高级视频存储”和“高级视频存储持久性”。
据该公司称,这一问题由 Nick McClendon,Andrew Mirghassemi,Charles Dardaman,INIT_6和Chris发现,全部是0DayAllDay,由Rapid7向供应商披露 - 但供应商尚未解决问题。
由于没有补丁,用户应确保未启用设备的基于云的数据存储功能。
Guardzilla没有立即回应对这个故事发表评论的请求。
