小心!这款黑客工具可能向大尺度网站上传你的隐私视频

源 / 雷锋网 文 / 又田

夏天夏天悄悄过去留下小秘密……

眼看着夏天要到了,大家在室内室外都换上了轻薄衣服,特别是在家里。叔不知,有人暗戳戳打起了摄像头的主意。

据BleepingComputer报道,一位名为 Ezequiel Fernandez 的阿根廷黑客在 5 月 1 日发布了一款功能强大的新型黑客工具,可以轻松提取各种针对 TBK 和相关贴牌厂商生产的数字视频录像机(DVR)的明文凭证,授予攻击者访问权限,并可以随意查看录制的视频。

这个名为 getDVR_Credentials 的工具是 CVE-2018-9995 的概念验证(Proof-of-Concept, PoC),它是 Fernandez 在上月初发现的一个安全漏洞。通过使用 “Cookie:uid = admin” 的 Cookie 标头来访问特定 DVR 的控制面板,DVR 将以明文形式响应设备的管理员凭证。整个开发过程足够小,甚至通过一条微博就能够发布。

$>curl"http://{DVR_HOST_IP}:{PORT}/device.rsp?opt=user&cmd=list" -H "Cookie: uid=admin"

在Google上搜索DVR Login会出现一大票相关页面,

根据 Shodan 的扫描结果,使用 /login.rsp 进行搜索发现易受攻击设备的数量有5.6万台;

使用 /device.rsp 来搜索,还能够发现额外的超过 1 万台的设备。

这一漏洞最初被发现时仅影响由 TBK 制造的 DVR 设备,但在本周一的更新中,Fernandez扩大了易受攻击设备品牌供应商列表,包括:Novo、CeNova、QSee、Pulnix、XVR 5 in 1、Securus 和 Night OWL。

Fernandez 还发布了一些通过利用 CVE-2018-9995 和他的工具获得的设备屏幕截图。根据这些屏幕截图的显示,Fernandez 可以完全访问这些设备的控制面板,同时也可以观看实时录制的视频。

不过围观群众也不必过于担心,在 CVE-2018-9995 被公开的这几周以来,并没有出现针对该漏洞的大规模扫描活动,即使是在 Fernandez 发布这个工具之后,也没有出现这种情况。

当然,这可能是暂时的。毕竟对那些专门利用安全漏洞聚合被劫持的安全摄像头或者 DVR 录制视频的网站来说(比如某些大尺度网站),Fernadez 发布的这款工具简直是神器。

参考来源:雷德蒙科技

- END -

转载声明:本文转载自「雷锋网」

原文发布于微信公众号 - 顶级程序员(TopCoding)

原文发表时间:2018-05-07

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏PingCAP的专栏

TiQuery:All Diagnosis in SQL | TiDB Hackathon 优秀项目分享

“距离 Hackathon 结束已经一个多星期了,感觉心情还是没有从激情中平复过来。不过由于我读书少,这时候好像只能感慨一句,黑客马拉松真是太好玩了……”

1373
来自专栏知晓程序

90% 的直男约会败于尬撩,另外的 10% 都在用这个小程序

打开「开撩神器」小程序,进入主界面,系统会自动展示各种形式的模板,你可以根据自己的喜好,随心所「撩」,自由发挥。

911
来自专栏拂晓风起

好消息!Html5游戏和动画的福音

1954
来自专栏james大数据架构

那些公司网页隐藏的彩蛋

  我们知道美帝电影基本在结尾都会有彩蛋出现 多则会有2个,以预期下一部剧情走向,那在互联网界呢?一般会在与用户直接接触的页面中做文章。   近年来用户体验越来...

2196
来自专栏张叔叔讲互联网

【一文读懂】什么是网络爬虫,每天都在忙乎什么?

先自我介绍一下,我是一只网络爬虫,出生在计算机中,操作系统就是我的爸爸妈妈,现在都活了2000毫秒了,这个放到我们生活的世界来说,已经属于比较长寿了。我出生之后...

1712
来自专栏FreeBuf

任天堂3DS游戏机烧录卡蓝屏事件

在2013年8月份gateway-3ds发布第一款3DS游戏烧录卡,正式宣告了3DS被破解,可以免费玩众多3DS游戏。在这几个月之后多家山寨厂商开始盗用gate...

27610
来自专栏iOS Developer

技术博客组件之Disqus中文化

1393
来自专栏知晓程序

给你个机会,2018 年从「头」开始做人

新年新气象,今天知晓程序就给大家推荐几款实用的小程序,让你的 2018 年从「头」有一个崭新的开始。

1023
来自专栏未闻Code

如果你不知道做什么,那就学一门杂学吧

多年以后,面对人工智能研究员那混乱不堪的代码,我会想起第一次和S君相见的那个遥远的下午。那时的B公司,还是一个仅有6个人的小团队,Mac和显示器在桌上依次排开,...

1769
来自专栏资深Tester

一个致命的bug--自负

3018

扫码关注云+社区

领取腾讯云代金券