昨日，小米攝像機被曝光存在遠程命令漏洞，可能危害到家庭的隱私及公共安全。小蟻科技（小米攝像機開(kāi)發(fā)廠(chǎng)商）方面雖然已就此事發(fā)表官方聲明，但是漏洞發(fā)現者360攻防實(shí)驗室再度回應，對小米攝像機理解錯誤的漏洞細節和新版本中的新漏洞做了具體分析。

圖：360攻防實(shí)驗室對小蟻公司的聲明作出回應

據悉，2月2日晚間，360攻防實(shí)驗室發(fā)布漏洞報告稱(chēng)小米攝像機應用管理程序存在遠程執行命令，無(wú)需任何web權限即可可以通過(guò)web界面以root權限執行任意系統命令。簡(jiǎn)單來(lái)說(shuō)，攻擊者可以通過(guò)該漏洞，無(wú)需用戶(hù)名、口令等認證方式，遠程控制小米攝像機，瀏覽視頻信息。如果點(diǎn)擊黑客惡意構造的鏈接地址，黑客還可以盜走WIFI密碼。這嚴重危害到家庭的隱私及公共安全。同時(shí)可以利用小米攝像機對路由器進(jìn)行關(guān)聯(lián)操作，攻擊家庭內網(wǎng)其它智能設備。

針對這份漏洞報告，小米攝像機的生產(chǎn)方小蟻科技發(fā)表官方聲明稱(chēng)，小米攝像頭在網(wǎng)絡(luò )層面采用動(dòng)態(tài)隨機密碼機制，報告中提到的漏洞確實(shí)存在，但僅在早起版本中存在，建議廣大用戶(hù)盡快升級。

隨后，360安全播報中心對該聲明進(jìn)行分析解讀稱(chēng)，無(wú)需通過(guò)破解密碼即可控制低版本的小米攝像機，并且發(fā)現最新版本中存在另一個(gè)高危的遠程命令執行漏洞，現已通報至小米安全中心。該漏洞的本質(zhì)是：1、小米路由器訪(fǎng)客模式是沒(méi)有進(jìn)行VLAN隔離或者用戶(hù)隔離，能夠直接訪(fǎng)問(wèn)到局域網(wǎng)其它設備。2、小蟻路由器的應用程序無(wú)需賬號驗證，直接可訪(fǎng)問(wèn)wifi配置文件，查看wifi密碼。

近年來(lái)，網(wǎng)絡(luò )安全的重要性日益凸顯，隱私泄露事件時(shí)有發(fā)生，面對漏洞威脅和黑客攻擊，安全廠(chǎng)商和網(wǎng)絡(luò )公司均有義務(wù)進(jìn)行通報和預警提示，并及時(shí)對漏洞進(jìn)行分析，并研究防護的策略。在聲明的最后，360安全播報平臺建議，包括小米在內的所有廠(chǎng)商都能重視漏洞報告，并及時(shí)提示用戶(hù)進(jìn)行安全更新。