据媒体报道，研究人员发现P2P通信软件组件iLnkP2P存在严重安全漏洞，允许黑客远程控制、访问物联网设备，全球200多万台设备受影响。
图片来源于pixabay
据悉，该软件由一家深圳公司开发，被广泛应用于婴儿监视器、智能门铃、数字录像机、安全摄像头和网络摄像头等设备中，用户仅需下载移动应用，扫描设备上的二维码或输入六位数ID，即可从任意地方快速访问设备。通过审查该公司官网的HTML源代码，研究人员发现该网站遭到黑客模糊脚本攻击，已被重定向到中文游戏网站。
此次曝光的漏洞由研究人员Paul Marrapese发现，分别是枚举漏洞CVE-2019-11219和认证漏洞CVE-2019-11220，允许黑客快速发现在线设备，绕过防火墙限制直接连接联网设备，执行中间人攻击并远程控制设备。
图片来源于pixabay
Marrapese通过构建概念验证攻击确认，仅需获取设备特定序列号（UID），即可发送恶意消息取代设备发出的任意消息，以纯文本形式通过客户端身份验证，获取设备凭证。然而，因为大多数用户都使用出厂默认密码运行设备，因此即使黑客未拦截设备密码，也可使用物联网设备生产厂商的默认凭证接管数百万台设备。
受该漏洞影响的设备包括HiChip、TENVIS、SV3C、VStarcam、Wanscam、NEO Coolcam、Sricam、Eye Sight和HVCAM。其中近半数由HiChip生产，设备ID前缀为FFFF、GGGG、HHHH、IIII、MMMM和ZZZZ，约39%位于中国，19%位于欧洲，还有7%位于美国。
图片来源于unsplash
截至目前，暂无切实可行的方法关闭受影响设备上的P2P功能，研究人员已通知国家互联网应急中心（CERT）、iLnk及6家主要供应商，暂未得到回复。专家建议用户可通过识别设备特定序列号（UID）避免购买或使用受影响设备。