烏雲報聯想凈化器漏洞 智慧硬體成潛在危區
- 發佈時間:2015-07-06 10:05:26 來源:光明網 責任編輯:王磊
有用戶“宋兵甲”在國內安全網路反饋平臺WooYun(烏雲)發佈消息稱,聯想X330空氣凈化器繞過用戶綁定可任意控制他人設備漏洞。這一漏洞危害等級被標注為“高”。
WooYun稱,該漏洞細節目前已通知廠商。截至目前,該漏洞狀態仍處於等待廠商處理中。
具體來説,該漏洞是使用錯誤的設備密碼調用聯想X330凈化器的特定介面,伺服器會返回正確的密碼,利用這個正確的設備密碼,就可以控制任意線上的X330設備。由於使用了同款App,該漏洞同時影響到Luftmed多款凈化器設備。
自從特斯拉被多次破解以來,智慧硬體安全問題已引起行業內人的注意。獵豹移動安全專家李鐵軍表示,智慧硬體漏洞挖掘將成為新熱點,並提示要謹慎看待智慧家居産品。
事實上,“宋兵甲”此前也曾提交小米智慧錄影機小蟻存在遠端命令執行漏洞。該攝像頭應用管理程式存在遠端命令執行漏洞,可以通過Web界面以Root許可權執行任意系統命令(無需任何Web授權)。
漏洞作者提交了漏洞證明。截至目前,該漏洞狀態目前為“已通知廠商但廠商忽略漏洞”。與此同時,廠商的回應是“無影響”。