7月6日,有用戶“宋兵甲”在國內(nèi)安全網(wǎng)絡(luò)反饋平臺WooYun(烏云)發(fā)布消息稱,聯(lián)想X330空氣凈化器繞過用戶綁定可任意控制他人設(shè)備漏洞。這一漏洞危害等級被標注為“高”。
WooYun稱,該漏洞細節(jié)目前已通知廠商。截至目前,該漏洞狀態(tài)仍處于等待廠商處理中。
具體來說,該漏洞是使用錯誤的設(shè)備密碼調(diào)用聯(lián)想X330凈化器的特定接口,服務(wù)器會返回正確的密碼,利用這個正確的設(shè)備密碼,就可以控制任意在線的X330設(shè)備。由于使用了同款App,該漏洞同時影響到Luftmed多款凈化器設(shè)備。
自從特斯拉被多次破解以來,智能硬件安全問題已引起行業(yè)內(nèi)人的注意。獵豹移動安全專家李鐵軍表示,智能硬件漏洞挖掘?qū)⒊蔀樾聼狳c,并提示要謹慎看待智能家居產(chǎn)品。
事實上,“宋兵甲”此前也曾提交小米智能攝像機小蟻存在遠程命令執(zhí)行漏洞。該攝像頭應用管理程序存在遠程命令執(zhí)行漏洞,可以通過Web界面以Root權(quán)限執(zhí)行任意系統(tǒng)命令(無需任何Web授權(quán))。
漏洞作者提交了漏洞證明。截至目前,該漏洞狀態(tài)目前為“已通知廠商但廠商忽略漏洞”。與此同時,廠商的回應是“無影響”。