Guardzilla 家庭摄像头录像可遭任何人访问

编译：360代码卫士团队

Guardilla 家庭视频监控系统中被指存在一个设计缺陷，可导致用户查看其他所有人的 Guardzilla 视频的内容。

Guardzilla 一体化视频安全系统是一个提供室内视频监控的家庭安全平台。

GZ501W 型号的摄像头包含一个共享的用于在亚马逊云中存储视频数据的硬编码亚马逊 S3 凭证，也就是说该系统的所有用户的密码都相同，能够访问其他人保持的家庭录像。另外，任何未验证用户只要知道存储详情就能够通过互联网从任意系统中提取数据。

Rapid 7 公司的研究人员在一篇博客文章中指出，“嵌入式 S3 凭证对所有账户的S3存储桶都具有无限制的访问权限。这是通过对设备配置的固件静态分析完成的。一旦提取出固件，root 密码‘GMANCIPC’就遭到破解，而亚马逊 S3 桶的访问密钥就被恢复。”

攻击者能够使用这些访问密钥连接到亚马逊 S3 账户并访问和该服务相关的多种存储桶，包括名为“免费视频存储”、“永久免费视频存储”、“收费视频存储”和“永久收费视频存储”的内容。

该问题是由 0DayAllDay 公司的研究员 Nick McClendon、Andrew Mirghassemi、Charles Dardaman、INIT_6 和 Chris 披露给厂商的，但厂商尚未修复该问题。

由于补丁尚未推出，用户应当确保未启用基于云的数据存储功能。

Guardzilla 公司尚未置评。

原文链接

https://threatpost.com/guardzilla-cameras-flaw/140415/

本文由360代码卫士编译，不代表360观点，转载请注明“转自360代码卫士 www.codesafe.cn”。