虹裏img歴史資料館

ここでは虹裏imgのかなり古い過去ログを閲覧することができます。新しいログはこちらにあります

23/03/11(土)07:42:15 スマー... のスレッド詳細

削除依頼やバグ報告は メールフォーム にお願いします。個人情報、名誉毀損、侵害等については積極的に削除しますので、 メールフォーム より該当URLをご連絡いただけると助かります。

画像ファイル名:1678488135197.png 23/03/11(土)07:42:15 No.1034988117

スマートドアホンを選ぶ時は気を付けて! >Akuvox E11に多数の脆弱性が確認されています 危険度総合評価 9.3 (最大10) >暗号化時予測可能な初期化ベクトルの使用(実際には0で埋めてるだけ) >ハードコードされた暗号鍵の使用(ソースが公開されていて誰でも見られる) >機器内蔵Webサーバに認証が無い(誰でも見られる) >パスワードが解読可能(認証無いのと上のハードコード暗号鍵のおかげで) >パスワードリセットが誰でも可能(認証が無いので) >コマンドインジェクションが可能(なんでも実行できる) >拡張子依存のファイルチェック(なんでもアップロードできる) >画像・動画アクセスに認証が無い >通話プロトコルにアクセス制御が無い(IPアドレス分かってれば誰でも会話できる) >SSHのrootユーザが有効・パスワードは変更できない https://www.cisa.gov/news-events/ics-advisories/icsa-23-068-01

1 23/03/11(土)07:45:05 No.1034988377

>>暗号化時予測可能な初期化ベクトルの使用(実際には0で埋めてるだけ) 最初から飛ばし過ぎでダメだった

2 23/03/11(土)07:48:39 No.1034988680

バックドアとかそういうレベルではないね…

3 23/03/11(土)07:50:30 No.1034988842

>通話プロトコルにアクセス制御が無い(IPアドレス分かってれば誰でも会話できる) >SSHのrootユーザが有効・パスワードは変更できない ん?

4 23/03/11(土)07:51:41 No.1034988945

なんでもできるすげえスマートドアホンだな

5 23/03/11(土)07:52:24 No.1034989017

セキュリティとか全然知らないけど社長が作れって言ったので…

6 23/03/11(土)07:54:17 No.1034989215

>機器のMACアドレスとIPアドレス漏洩 これが中々で、 ドアフォンの近くを通った人を人感センサーで検知して撮影してクラウドにアップロード、ユーザーはスマホアプリで確認できる…という便利機能があるんだけど 何をやっていたかというと、全機器共通のアカウントでAkuvoxのFTPサーバに画像をアップロードしていて、そのファイル名がMAXアドレス+IPアドレスだったという そしてFTPサーバは最初リスト有効になっていたのでアクセスすると他人のドアフォンの画像が全部表示される状態だったそうです 見つけた人のお話 https://claroty.com/team82/research/the-silent-spy-among-us-modern-attacks-against-smart-intercoms

7 23/03/11(土)07:54:19 No.1034989218

ドアホやな…

8 23/03/11(土)07:54:23 No.1034989225

よくわからんけど動いたからリリースしようぜ

9 23/03/11(土)07:54:55 No.1034989277

×MAX 〇MAC

10 23/03/11(土)07:55:03 No.1034989295

ガバガバ過ぎるだろ

11 23/03/11(土)08:05:36 No.1034990428

「」でももう少しまともなものを作ると思う

12 23/03/11(土)09:13:45 No.1034999419

わざとじゃないと作れない類だろこれ

13 23/03/11(土)09:19:50 No.1035000423

昔こんな感じの誰からもアクセスできるWebカメラあったな…

14 23/03/11(土)09:20:40 No.1035000555

これメインスタッフに泥棒がいるだろ

15 23/03/11(土)09:25:04 No.1035001315

悪ボックスじゃん

16 23/03/11(土)09:26:58 No.1035001659

> AKUVOXはネットワーク通信、インターホン、セキュリティ、AI、クラウドコンピューティング、モバイルインターネットなどの多くの分野の最新技術を統合して、業界トップの研究開発能力と独特な優位を構築しています。

17 23/03/11(土)09:27:25 No.1035001755

何のためにこんな仕様にしたんですか?

18 23/03/11(土)09:35:34 No.1035003229

マルチリモコンと同じノリかな

19 23/03/11(土)09:37:44 No.1035003588

全部盛りって感じだな

20 23/03/11(土)09:40:15 No.1035004043

まじで作れって言われたから作った後は知らんって出来だな…

21 23/03/11(土)09:48:10 No.1035005412

>何をやっていたかというと、全機器共通のアカウントでAkuvoxのFTPサーバに画像をアップロードしていて、そのファイル名がMACアドレス+IPアドレスだったという やばすんぎ

22 23/03/11(土)09:53:48 No.1035006509

発見したセキュリティ会社ではこれにドアロックを連動させていたので画像だけでなくてドア自体開けられたという バックドアってそういう…

23 23/03/11(土)10:31:44 No.1035013431

ディレクトリ上に行ったら全部見られそうな感じ?

24 23/03/11(土)10:34:59 No.1035014005

客がこれつけたいってゴネてこんな得体の知れないメーカーのなんかやめた方がいいっすよってやめさせたやつだ

25 23/03/11(土)10:35:28 No.1035014098

https://jvn.jp/vu/JVNVU97942133/index.html jvnにも出たね 日本で使ってるところあるかな…

26 23/03/11(土)10:39:36 No.1035014891

脆弱性のデパート

27 23/03/11(土)10:40:00 No.1035015004

めっちゃCJKフォントだしチャイナ製かね…

28 23/03/11(土)10:42:16 No.1035015441

ある日出社すると そこには外部から乗っ取られてDOOMがインストールされているドアホンが!!!

↑Top