据报道,研究人员已经识别RSI视频技术(RSI Video Technologies)制造商Videofied报警系统的几个高危漏洞。
法国RSI视频技术公司提供住宅、商业和户外设施(包括重要基础设施和建筑工地)的物理安防解决方案。该公司表示,其无线安防产品已广泛部署在70多个国家。
当报警器被触发时,Videofied无线报警系统会发送警报和视频。
研究人员与英国安防顾问Cybergibbons分析了W Panel,其为住宅、小型商业和企业环境应用Videofied控制面板之一。W Panel能够通过以太网网、无线网络以及GPRS流量传送视频和警报,以确保警方能够迅速跟进犯罪分子犯罪活动。
专家发现的一个漏洞是,面板与服务器之间的认证是基于装置序列号的密钥,而其在没有加密过的文件中很容易遭到攻击。该安全漏洞被分配为CVE-2015-8252标识符。
另一个漏洞是数据真实性没有适当的验证,会导致攻击者发送假警报和停用警报。该安全漏洞被分配为CVE-2015-8254。
专家还确定通信不加密,消息通过不加密文件以及视频通过MJPEG(CVE-2015-8253)文件形式发送。
研究人员宣称,这些漏洞会允许远程攻击者恶搞警报和拦截数据,其中包括视频等。
据CERT/CC,该漏洞存在于Videofied客户监测报警器采用的Frontel软件包。Frontel软件包使用服务器通信TCP端口888上运行的自定义协议。(文/Silvia译)
