三星智能摄像头存在漏洞 可被黑获得root权限

安全人员在三星智能摄像头当中发现一个新的安全漏洞,攻击者借此可以获得root权限,并且远程运行命令。三星智能摄像头从本质上讲是一个IP摄像头,它允许用户从任何地点使用三星自家的服务连接并查看实时视频或记录事件。它提供了无缝的婴儿或宠物监控,企业和家庭的安全监控。

exploitee.rs网站公布了三星智能摄像头当中存在的一个漏洞,可以允许攻击者使用三星上次为三星智能摄像头修复漏洞而无意留下的一个web服务器,获得对设备的root访问权限。

具体而言,三星试图通过去除本地网络接口,并迫使用户访问SmartCloud网站来修复设备的安全漏洞,但在同一时间,该公司还继续让服务器功能在本地运行。而事实证明,一个可能的漏洞使攻击者通过推送定制固件文件连接到这个Web界面。

该IWATCH install.php漏洞可以通过制定专门的文件名,然后存储在PHP系统调用tar命令加以利用。由于Web服务器作为root运行,文件名由用户提供,输入时没有安全处理,黑客可以内注入自己的命令来实现root远程命令执行。

目前,三星尚未出台新的漏洞补丁来修复智能摄像头存在的这个漏洞。

本文转自d1net(转载)

时间: 2024-10-26 05:29:57

三星智能摄像头存在漏洞 可被黑获得root权限的相关文章

三星智能摄像头存在漏洞 可被黑获得 root 权限

安全人员在三星智能摄像头当中发现一个新的安全漏洞,攻击者借此可以获得root权限,并且远程运行命令.三星智能摄像头从本质上讲是一个IP摄像头,它允许用户从任何地点使用三星自家的服务连接并查看实时视频或记录事件.它提供了无缝的婴儿或宠物监控,企业和家庭的安全监控. exploitee.rs网站公布了三星智能摄像头当中存在的一个漏洞,可以允许攻击者使用三星上次为三星智能摄像头修复漏洞而无意留下的一个web服务器,获得对设备的root访问权限. 具体而言,三星试图通过去除本地网络接口,并迫使用户访问S

MySQL 0Day漏洞出现 该漏洞可以拿到本地Root权限 绿盟科技发布防护方案

2016年9月12日, legalhackers.com网站发布了编号为CVE-2016-6662的0day漏洞公告 .由于该漏洞可以获得MySQL服务器的Root权限,且影响MySql5.5.5.6.5.7乃至最新版本,绿盟科技安全团队发布高级威胁预警通告,这意味着该漏洞影响范围比较广,危害严重,利用难度较低,绿盟科技将在7*24小时内部应急跟踪,24小时内完成技术分析.产品升级和防护方案. 该漏洞可以允许攻击者远程向MySQL配置文件(my.cnf)注入恶意的环境配置,从而导致严重后果.该漏

MySQL现高危漏洞,可致服务器root权限被窃取

上周,一位名叫Dawid Golunski的波兰黑客发现了存在于MySQL中的漏洞:一个远程root代码执行漏洞和一个权限提升漏洞.当时,Golunski只提供了第一个漏洞的poc,但是承诺之后会透露第二个漏洞(CVE-2016-6663)的更多细节. 本周二,Golunski公布了针对两个漏洞的PoC:第一个PoC针对的是之前的高危权限提升漏洞,而另一个PoC针对的则是一个新的root权限提升漏洞,利用这个漏洞,攻击者能够获取到整个数据库的权限. 漏洞编号 CVE-2016-6663 CVE-

7年发现了新的Linux内核漏洞CVE-2017-2636 可以拿到root权限 影响大多数Linux版本

该Linux内核漏洞自2009年出现,波及大量的Linux发行版,包括Red Hat.Debian.Fedora.OpenSUSE和Ubuntu.事实证明,Linux上的漏洞都被利用了好长时间了,去年也有一次 绿盟科技发布Linux内核本地提权漏洞威胁预警通告 这个漏洞9年才被修复 Linux内核漏洞CVE-2017-2636 影响大多数Linux版本 最新的Linux内核漏洞(CVE-2017-2636)已在Linux内核中存在7年之久.未经授权的本地用户可利用该漏洞获得受影响系统的root权

GeekPwn再现碟中谍场景 黑客肆意控制智能摄像头

控制所有的摄像头,或开或关,或拍摄本不该有的画面--你以为这种黑技术只有<碟中谍>这类好莱坞大片中才有.其实,GeekPwn 2015现场就真真切切的出现了这一幕幕只有电影中才有的场景. (GeekPwn 2015嘉年华在上海举办) 10月24日,由KEEN主办的GeekPwn 2015(极棒)安全极客嘉年华正式举行.在这场倍受人们关注的"黑客奥运会"上,众多智能软硬件被安全极客们攻破,并在现场做了技术展示. 当天上午,长亭科技的参赛选手一次性攻破7款智能摄像头,引发现场一

智能摄像头如何防范被破解确保安全?

随着科技发展,诸如智能摄像头这样的设备应用将越来越广泛.在智能摄像头等设备使用过程中,如何防范被破解.如何确保安全? 摄像头安全风险来自多方面 家用智能摄像头被破解,继而导致摄像头遭恶意操控,甚至造成用户隐私泄露,这些问题引发业界关注. 家用智能摄像头被破解的安全风险究竟来自何处?是设备自身存在安全漏洞抑或其他原因?近日,在北京召开的智能硬件产业安全峰会上,针对于国家质检总局发布的警示,360产品总监赵谦做了详细解释. "质检总局一共进行40批次摄像头抽检,其中80%摄像头存在安全漏洞,其实这个

乱象丛生 智能摄像头让你家更危险还是更安全?

不久前,一份<国内智能家庭摄像头安全状况评估报告>发布,其中披露的内容令人大跌眼镜.<报告>中显示,市面上有近八成的产品存在泄露用户隐私的风险.随着智能家居的发展,人们对于网络摄像头的接受程度越来越高.调查显示,大多数人以"准备在家里装个摄像头,可以看到老人.孩子,出差也能放心很多"."家中的财产安全也能有个保障"."还能记录宠物日常生活"等各种目的来安装摄像头. 近几年来,随着移动互联网的飞速发展,家装摄像头市场得以兴起

质检总局:智能摄像头抽检八成存隐患,或致视频泄露

大量家庭摄像头遭入侵:破解软件百元可买,含IP地址.密码 6月18日,国家质检总局官网发布关于智能摄像头的质量安全的风险警示称,已检测的40批次中,32批次样品存在质量安全隐患,可能导致用户监控视频被泄露,或智能摄像头被恶意控制等危害. 智能摄像头,是指不需要电脑连接,直接使用Wi-Fi联网,配有移动应用,可以远程随时随地查看家里的一切,与家人语音通话,还支持视频分享.远程操作监控视角.报警等功能的一类产品的总称. 据央视新闻6月18日报道,破解智能摄像头的密码,侵入相关系统,偷看或直播智能摄像

三星智能手表 到底值不值得购买?

当Galaxy Gear手表去年秋天推出以来,结果并不美好,看起来更像是三星与其它厂商之间的一场因恐慌而引起的竞争.三星内部人士认为应该发动一场比赛来击败其他移动设备,而Galaxy Gear手表就是主要利器,主要的目标不言而喻--谷歌和苹果. 在三星发布Galaxy Gear手表后,谷歌和苹果还没有推出自己的手表,但出乎意料的是,三星手表的首次亮相并未因为这段真空期而盈利,虽然这款手表不是三星公司产品草率的延伸,但它显得过于笨重,对于普通用户来说吸引力并不大,所以它遭遇了一场尴尬:人们需要怎样