首页 > 安全 > 网络安全 >

小米公司智能家居解决方案”访客用户”越权控制漏洞

2015-02-03

小米总是让人有无数的遐想,它的每个商品都让人为之惊讶。小米公司以智能家居解决方案,采用多硬件互动等方式,给用户带来了非常良好的体验。在提供极大的便捷的同时也引入了一些风险。在使用路由器访客用户进入局

小米总是让人有无数的遐想,它的每个商品都让人为之惊讶。小米公司以智能家居解决方案,采用多硬件互动等方式,给用户带来了非常良好的体验。

t01e2d571016343efa1.png

在提供极大的便捷的同时也引入了一些风险。在使用路由器“访客用户”进入局域网络中时,可以再非授权的情况下访问到小蚁摄像头的应用管理程序。造成摄像头视频文件泄露、家庭wifi密码泄露等问题。给用户带来了一定的安全风险。

问题描述:

当前是以访客权限接入无线网络,是不能够访问到路由器的管理地址的。

t0194235b834e9d7843.png

但是可以访问到同一局域网内的其它设备。

t01917cbb13eac5c6e8.png

并且能够访问小蚁摄像头的配置文件等信息。

http://www.2cto.com/uploadfile/Collfiles/20150203/20150203095719152.png

通过读取小蚁摄像头的配置文件。可以获得路由器无线接入的密码。(从此翻身做主人,拥有主人权限和带宽不是梦)

http://www.2cto.com/uploadfile/Collfiles/20150203/20150203095720153.png

http://www.2cto.com/uploadfile/Collfiles/20150203/20150203095721154.png

并且可以下载小蚁摄像头中存放的视频文件。(有了这个我们可以看直播了)

http://www.2cto.com/uploadfile/Collfiles/20150203/20150203095721155.png

t01545848630f5ddf6a.png

整个过程中,主要的问题出现在智能设备联动的时候没有控制好网络的访问权限,如果是“访客用户”接入网络,建议将访客用户IP划入单独的vlan中,或者采用端口隔离技术,控制访问权限。

安全建议:

禁用guest网络模式,等待官方更新路由器固件补丁。

配置路由器无线用户隔离功能,要求在同一无线网络中客户不能相互访问。

相关文章
最新文章
热点推荐