放大/ Akuvox E11(图片来源:Akuvox)
Akuvox E11 标榜为视频门禁电话,但实际上远不止于此。联网设备打开建筑物的门,提供实时视频和麦克风馈送,在每次有人走过时拍照并上传,并实时记录每次进出。 Censys 设备搜索引擎显示大约有 5,000 台此类设备暴露在互联网上,但由于各种原因 Censys 可能看不到更多设备。
事实证明,这个无所不能、无所不知的设备漏洞百出,这些漏洞提供了多种途径,可以将敏感数据和强大的功能交到花时间分析其内部运作的威胁行为者手中。这正是安全公司 Claroty 的研究人员所做的。调查结果非常严重,任何在家里或建筑物中使用这些设备之一的人都应该暂停阅读本文,断开他们的 E11 与互联网的连接,并评估从那里去哪里。
Claroty 发现的 13 个漏洞包括缺少关键功能的身份验证、缺少或不正确的授权、使用可访问而不是加密散列密钥加密的硬编码密钥,以及敏感信息暴露给未经授权的用户。尽管漏洞很严重,但由于Akuvox (一家中国领先的智能对讲和门禁系统供应商)未能响应来自 Claroty、CERT 协调中心以及网络安全和基础设施安全的多条消息,它们的威胁变得更加严重在六周内代理。 Claroty 和 CISA 于周四在此处和此处公开了他们的调查结果。