亚马逊Blink智能摄像头曝出劫持漏洞

       亚马逊旗下的blink XT2安全摄像头系统曝出多个严重漏洞，可被攻击者利用来非法控制设备。

       物联网（IoT）摄像头（和blink开源浏览器引擎不同）通常由无线摄像头和监控系统组成。而在近日，Tenable的研究人员透露，该摄像头的某些漏洞可以让无法接触到这些设备的攻击者非法查看摄像头镜头、接收音频，并劫持设备加入某个僵尸网络。目前亚马逊已知晓了这些漏洞，并发布了对应补丁。

       Tenable的联合创始人兼首席技术官Renaud Deraison在一份声明中表示，正是因为摄像头无处不在，所以成为了犯罪分子的攻击目标。物联网设备制造商有义务在设计产品时就考虑到安全问题，而不是等出事后再补救。

       此次blink摄像头共涉及7个CVE。其中最严重的漏洞是来自同步模块更新的命令注入漏洞，主要和blink用于向设备提供更新信息或获取网络信息的云通信端点有关。

       日常在检查更新时，设备会首先从网络中获取一个更新助手脚本（sm_update），然后立即运行它（无任何安全检查）。这意味着一旦攻击者能控制更新脚本的内容，就直接可以进行命令注入（不存在任何阻碍）。

       研究人员表示，如果攻击者能（通过某种DNS中毒方法或劫持）中间人攻击这个请求，他们就可以控制所响应的脚本内容，以达到自己的目的。

       研究人员通过劫持DNS，查找在blink同步模块上的.server变量，这样就可进一步劫持<blink for home cloud endpoint>/fw/update_tls/<version number>之类的请求，并返回自定义的内容（例如echo "Update hijacked." && id)。然后这些内容会被直接发送给/root/apps/connection/start_get_sm_update中的os.execute。

       此外，一个名为get_network()函数缺乏安全检查。该函数存在于设备上的其他帮助脚本中。研究人员表示，由于/root/apps/auth_gen/auth_gen中get_networks()函数所接收到的外部输出没有经过适当的检查（在直接传递给os.execute()之前），导致设备会以root权限执行恶意命令。

       虽然这个函数在正常的操作过程中似乎并没有涉及到，但一旦被使用，那就是一个命令注入点。研究人员已经手动触发了这个漏洞，证实缺陷确实存在。

       研究人员承认，虽然这两个漏洞危害较大，但只有已经连接到家庭网络的攻击者才能较好地利用。

       Tenable首席研究工程师Jimi Sebree表示，虽然这些漏洞有可能被远程利用，但不太可能被外部攻击者所利用，其中某些劫持操作并不一定能成功，不过一旦成功就能让攻击者完全控制设备。