行业新闻与博客

佛罗里达理工学院的一名学生在领先的互联网连接门铃和安全摄像头中发现了“系统设计缺陷” 。

Blake Janes 发现了由 Ring，Nest，SimpliSafe 和其他八家公司制造的与删除活动用户帐户有关的设备中的漏洞。这些缺陷使共享帐户可以保留在原处，并且尽管看上去已被删除，但仍可以继续访问视频供稿。

这些漏洞可能使恶意行为者无限期秘密地录制来自易受攻击设备的音频和视频，从而在受害者自己的家门口侵犯了受害者的隐私。在电子跟踪情况下，或共享使用设备的同居伴侣不再生活在一起的情况下，此类缺陷可能会造成严重后果。 

该漏洞源于设备的设计方式，使得授予访问权限的决定在云中完成，而不是在相机本身或用户的智能手机上本地做出。 

该学生和来自该大学顶级网络安全研究所 L3Harris 保证信息研究所的两名佛罗里达理工学院教授和学生在“ 永无止境的故事：共享物联网设备中的身份验证和访问控制设计缺陷”中介绍了计算机科学专业 Janes 的发现。网络安全计划主席 Terrence O'Connor 和计算机工程与科学助理教授 Heather Crawford。

该论文总结说：“我们的分析确定了共享物联网生态系统的设备认证和访问控制方案中的系统性故障。” “我们的研究表明，供应商要实现物联网生产内容的安全性和隐私性，还有很长的路要走。”

Janes 向供应商通报了该漏洞，并建议了一些修复程序。为了发现 Nest 设备套件中的主要缺陷，Google 向努力工作的学生提供了 $ 3,133 美元的错误赏金。 

包括三星在内的其他厂商也一直在与 Janes 交流有关解决此漏洞的推荐解决方案。

Janes 及其合作者发现了眨眼相机，金丝雀相机，D-Link 相机，Geeni 迷你相机，门铃和平移 / 倾斜相机，Merckry 相机，动量轴相机，Nest 相机电流和门铃电流，NightOwl 门铃， Ring Pro 门铃电流和标准门铃电流，SimpliSafe 摄像头和门铃以及 TP-Link Kasa 摄像头。

本文由机器译制