安全性太差，中國一物聯網公司遭SEC點名批評

又一家物聯網裝置供應商被爆出現了基本的安全漏洞，讓攻擊者有機可趁。

這一次出現問題的是中國監控攝像機制造商雄邁，因其XMEye P2P雲服務的安全性較差而受到了美國證券交易委員會（SEC）研究人員的點名批評。其中，研究人員指出的問題包括暴露的預設憑證以及可通過該服務提供的無符號韌體更新。

因此，美國證券交易委員會警告稱，這些漏洞可能會使攝像頭受到攻擊，從對其所有者展開間諜活動，到執行殭屍網路指令，甚至成為更大規模網路入侵的入口點。而針對這些漏洞， SEC表示，“我們的建議是完全停止使用雄邁和雄邁OEM裝置。”

隨後，SEC補充道，“該公司的安全記錄很糟糕，此前在惡意軟體Mirai以及其他各種物聯網殭屍網路事件中都曾扮演過一定的角色，而且有些漏洞是在2017年就已公佈的，但在最近的韌體版本中仍未進行修復。”

預設情況下，P2P雲服務會允許使用者通過網頁瀏覽器或iOS / Android應用程式遠端連線到裝置，無需本地網路連線就可控制硬體。但不幸的是，SEC解釋稱，裝置本身和服務的漏洞，如未加密的連線和預設密碼（使用者在設定裝置時不需要更改預設值）意味著在許多情況下，攻擊攝像頭是非常容易成功的。

此外，SEC還指出，雄邁裝置不需要進行有符號韌體更新，這意味著攻擊者可能會安裝帶有惡意軟體的韌體更新來構建殭屍網路，或者對本地網路展開進一步攻擊。研究人員表示，“這可能是通過修改韌體更新中所包含的檔案系統或在韌體更新檔案中修改‘InstallDesc’檔案來實現的。”其中，InstallDesc是一個文字檔案，包含著在更新期間執行的命令。

最重要的是，SEC指責雄邁無視安全警告，同時也沒有采取任何基本預防措施。

該部門聲稱雄邁不僅忽視了他們的最新警告，其糟糕的安全狀況還曾成為了臭名昭著的Mirai殭屍網路的“素材”。因此，在這種情況下，研究人員建議公司停止使用基於雄邁硬體的OEM硬體。

公開資訊顯示，  杭州雄邁資訊科技有限公司創立於2008年，是一家集安防視訊監控類產品研發、生產和銷售於一體的高科技企業，主要產品包括安全監控系統、閉路電視及相關攝像裝置的元件(主機板、網路模組等)。

宣告：本文來自安全內參，版權歸作者所有。文章內容僅代表作者獨立觀點，不代表安全內參立場，轉載目的在於傳遞更多資訊。如需轉載，請聯絡原作者獲取授權。