近日，SEC Consult的安全研究人員發(fā)布報告稱，F(xiàn)redi公司的無線嬰兒監(jiān)控設(shè)備存在嚴重漏洞，該漏洞可被未經(jīng)身份驗證的攻擊者所利用，不僅能夠監(jiān)控他人還能藉此入侵整個家庭網(wǎng)絡(luò)。

這項調(diào)查最初始于美國南卡羅萊納州的一則新聞：一位名為杰米·薩米特的母親，聲稱有人控制了她家的嬰兒監(jiān)視器并且一直在監(jiān)視她。
調(diào)查顯示該設(shè)備的固件以及一些基礎(chǔ)程序均是由一家深圳名為技微時代科技的公司提供。
研究人員表示，很多商用的監(jiān)控設(shè)備都會默認開啟P2P云功能，在使用過程中將其連接到云服務架構(gòu)中并保持連接狀態(tài)。用戶可以通過移動設(shè)備以及桌面應用程序通過云端訪問其設(shè)備。
這種架構(gòu)使得用戶能夠輕松與監(jiān)視器進行交互。然而該設(shè)備的路由器上沒有防火墻規(guī)則，也沒有端口轉(zhuǎn)發(fā)限制以及DDNS的設(shè)置。
研究人員強調(diào)，這種設(shè)置存在很多安全隱患：
1.云服務商會獲取所有數(shù)據(jù)。（即，云服務提供商可以看到所有視頻）
說到這里則又有了一些其他問題，什么人在運行這些服務器？他們在什么地方？他們的行為是否符合當?shù)胤ㄒ?guī)？例如歐盟的GDPR（通用數(shù)據(jù)保護條例）？
2.如果數(shù)據(jù)連接沒有被正確加密，那么任何人都可以通過攔截設(shè)備連接并獲取交換的數(shù)據(jù)。
3.“P2P云功能”可以繞過防火墻直接連接專用網(wǎng)絡(luò)。那么，攻擊者不僅可以攻擊那些有意/無意暴露于網(wǎng)絡(luò)的設(shè)備，還能通過P2P云暴露大量其他設(shè)備。
SEC Consult解釋說，在設(shè)備的背面有一個ID碼和一個初始密碼（ID:11610289,password:123）。在支持應用中，有一個“添加在線設(shè)備”功能，允許添加設(shè)備。另外，這個默認密碼不是隨機生成，也不是特定于某個設(shè)備，而是統(tǒng)一的。除非用戶自行更改密碼，否則任何人都可以通過不同的云ID來鏈接相應設(shè)備。
“很顯然，這個設(shè)備和云服務都不符合GDPR標準。”專家表示，未來在處理這種來自不透明供應鏈和不安全云服務的電子設(shè)備問題將會非常棘手。