智能锁设计存漏洞：3 秒破解智能锁的小黑盒流入市场

正常地打开智能锁，需要三个环节：

一、输入，比如是密码、指纹、人脸识别等；

二、认证，芯片对输入信号进行识别认证；

三、执行，认证无误，系统发出指令信号，转动电机，打开门锁。

小黑盒破解智能锁，不存在信息输入、识别认证这两道关，问题出在第三步执行上。而智能锁的最后开启，是由电机转动带动锁芯完成的，因此试验的重点应该在电机的输入信号上。

“很可能是小黑盒的脉冲干扰产生电流，经过智能锁内部的元器件，产生一种信号，让系统误以为是正常指令，触发了电机启动。同时对于带人脸识别功能的智能门锁也能被打印的黑白照片所开启，如此乱象的市场，希望广大厂商在追求科技进步的同时也要对门锁的基础防护做到负责”。

详文阅读：

http://hackernews.cc/archives/23415

Swann家庭摄像爆出严重安全漏洞：竟能查看陌生家庭视频画面

据英国BBC的消息，这位女士名为Louisa Lewis，她本想用手机查看自家摄像头的实时画面，但当她用手机查看摄像头画面时，摄像机出现的却是陌生家庭的生活画面，通过手机，Lewis看到了一个陌生男人和一个陌生女人在一间陌生的厨房里工作，甚至还有陌生小孩的声音传来。针对此事，Swann向英国BBC表示，Lewis女士的Swann摄像头事故的出现的原始是因为两台不同的Swann摄像头设置了相同的安全密钥，属于人为错误。具体来说，后购买Swann摄像头的家庭在设置他们的相机时，无视了“相机已与已有账号已形成配对”的警告，并继续使用摄像头。因为这个原因，Swann摄像头无法识别和联系正确用户，但报道称事实似乎并非如此，BBC发现这两个用户的登录密码并没有匹配。

详文阅读：

http://www.21ic.com/news/computer/201807/800114.htm

VDOO 披露 Axis 摄像头多个漏洞

VDOO发现来自 Axis 的摄像头是最容易受到攻击的设备之一。我们团队在 Axis 安全摄像头中发现了一个关键漏洞链。攻击者在获得 ip 地址后利用这些漏洞能够远程控制这些摄像头（通过LAN 或者 互联网）。总的来说，VDOO 向 Axis 安全团队公开了 7 个漏洞。

这些漏洞的 CVE编号分别是： CVE-2018-10658, CVE-2018-10659, CVE-2018-10660, CVE-2018-10661, CVE-2018-10662, CVE-2018-10663 以及 CVE-2018-10664。

将报告中 3 个漏洞结合，未授权用户只要能够访问到登录页面，就能够完全控制这些受影响的摄像头。攻击者可以执行的操作有：

访问摄像头视频流

冻结摄像头视频流

控制摄像头 – 将镜头移动到需要的位置，开启/关闭 运动检测

将此摄像头纳入僵尸网络中

替换摄像头的软件

使用摄像头作为网络的渗透点（进行横向移动）

渲染无用的摄像头

使用摄像头执行其他恶意的任务（如 DDOS 攻击，挖矿等）

详文阅读：

http://www.360zhijia.com/anquan/396599.html