7月6日�,有用戶“宋兵甲”在國內(nèi)安全網(wǎng)絡(luò)反饋平臺WooYun(烏云)發(fā)布消息稱���,聯(lián)想X330空氣凈化器繞過用戶綁定可任意控制他人設(shè)備漏洞。這一漏洞危害等級被標(biāo)注為“高”��。
WooYun稱����,該漏洞細(xì)節(jié)目前已通知廠商。截至目前����,該漏洞狀態(tài)仍處于等待廠商處理中。
具體來說�,該漏洞是使用錯誤的設(shè)備密碼調(diào)用聯(lián)想X330凈化器的特定接口,服務(wù)器會返回正確的密碼,利用這個(gè)正確的設(shè)備密碼�����,就可以控制任意在線的X330設(shè)備���。由于使用了同款A(yù)pp��,該漏洞同時(shí)影響到Luftmed多款凈化器設(shè)備����。
自從特斯拉被多次破解以來�,智能硬件安全問題已引起行業(yè)內(nèi)人的注意。專家表示���,智能硬件漏洞挖掘?qū)⒊蔀樾聼狳c(diǎn)���,并提示要謹(jǐn)慎看待智能家居產(chǎn)品。
事實(shí)上����,“宋兵甲”此前也曾提交小米智能攝像機(jī)小蟻存在遠(yuǎn)程命令執(zhí)行漏洞。該攝像頭應(yīng)用管理程序存在遠(yuǎn)程命令執(zhí)行漏洞���,可以通過Web界面以Root權(quán)限執(zhí)行任意系統(tǒng)命令(無需任何Web授權(quán))�。
漏洞作者提交了漏洞證明。截至目前��,該漏洞狀態(tài)目前為“已通知廠商但廠商忽略漏洞”����。與此同時(shí),廠商的回應(yīng)是“無影響”��。
小編推薦閱讀
