近日，SEC Consult的安全研究人員發(fā)布報告稱，F(xiàn)redi公司的無線嬰兒監(jiān)控設備存在嚴重漏洞，該漏洞可被未經身份驗證的攻擊者所利用，不僅能夠監(jiān)控他人還能藉此入侵整個家庭網絡。

這項調查最初始于美國南卡羅萊納州的一則新聞：一位名為杰米·薩米特的母親，聲稱有人控制了她家的嬰兒監(jiān)視器并且一直在監(jiān)視她。
調查顯示該設備的固件以及一些基礎程序均是由一家深圳名為技微時代科技的公司提供。
研究人員表示，很多商用的監(jiān)控設備都會默認開啟P2P云功能，在使用過程中將其連接到云服務架構中并保持連接狀態(tài)。用戶可以通過移動設備以及桌面應用程序通過云端訪問其設備。
這種架構使得用戶能夠輕松與監(jiān)視器進行交互。然而該設備的路由器上沒有防火墻規(guī)則，也沒有端口轉發(fā)限制以及DDNS的設置。
研究人員強調，這種設置存在很多安全隱患：
1.云服務商會獲取所有數據。（即，云服務提供商可以看到所有視頻）
說到這里則又有了一些其他問題，什么人在運行這些服務器？他們在什么地方？他們的行為是否符合當地法規(guī)？例如歐盟的GDPR（通用數據保護條例）？
2.如果數據連接沒有被正確加密，那么任何人都可以通過攔截設備連接并獲取交換的數據。
3.“P2P云功能”可以繞過防火墻直接連接專用網絡。那么，攻擊者不僅可以攻擊那些有意/無意暴露于網絡的設備，還能通過P2P云暴露大量其他設備。
SEC Consult解釋說，在設備的背面有一個ID碼和一個初始密碼（ID:11610289,password:123）。在支持應用中，有一個“添加在線設備”功能，允許添加設備。另外，這個默認密碼不是隨機生成，也不是特定于某個設備，而是統(tǒng)一的。除非用戶自行更改密碼，否則任何人都可以通過不同的云ID來鏈接相應設備。
“很顯然，這個設備和云服務都不符合GDPR標準。”專家表示，未來在處理這種來自不透明供應鏈和不安全云服務的電子設備問題將會非常棘手。