7月6日��,有用戶“宋兵甲”在國內(nèi)安全網(wǎng)絡(luò)反饋平臺WooYun(烏云)發(fā)布消息稱�����,聯(lián)想X330空氣凈化器繞過用戶綁定可任意控制他人設(shè)備漏洞�����。這一漏洞危害等級被標(biāo)注為“高”。
WooYun稱,該漏洞細節(jié)目前已通知廠商����。截至目前,該漏洞狀態(tài)仍處于等待廠商處理中��。
具體來說�����,該漏洞是使用錯誤的設(shè)備密碼調(diào)用聯(lián)想X330凈化器的特定接口��,服務(wù)器會返回正確的密碼��,利用這個正確的設(shè)備密碼���,就可以控制任意在線的X330設(shè)備����。由于使用了同款A(yù)pp����,該漏洞同時影響到Luftmed多款凈化器設(shè)備�����。
自從特斯拉被多次破解以來,智能硬件安全問題已引起行業(yè)內(nèi)人的注意�。專家表示�,智能硬件漏洞挖掘?qū)⒊蔀樾聼狳c��,并提示要謹(jǐn)慎看待智能家居產(chǎn)品���。
事實上�,“宋兵甲”此前也曾提交小米智能攝像機小蟻存在遠程命令執(zhí)行漏洞����。該攝像頭應(yīng)用管理程序存在遠程命令執(zhí)行漏洞,可以通過Web界面以Root權(quán)限執(zhí)行任意系統(tǒng)命令(無需任何Web授權(quán))�。
漏洞作者提交了漏洞證明。截至目前���,該漏洞狀態(tài)目前為“已通知廠商但廠商忽略漏洞”�。與此同時�,廠商的回應(yīng)是“無影響”�。
小編推薦閱讀
