McAfee：Belkin智慧插头含有远端程式攻击漏洞,,Belkin除了制造

原标题：McAfee：Belkin智慧插头含有远端程式攻击漏洞

图片来源: McAfee McAfee△Labs本周指出，知名的电脑周边制造商Belkin所生产的智慧插头Wemo△Insight△Smart△Plug含有一缓冲区溢位漏洞，将允许骇客执行远端程式攻击。Belkin除了制造电脑及手机的周边商品之外，也有...

图片来源:

McAfee

McAfee△Labs本周指出，知名的电脑周边制造商Belkin所生产的智慧插头Wemo△Insight△Smart△Plug含有一缓冲区溢位漏洞，将允许骇客执行远端程式攻击。

Belkin除了制造电脑及手机的周边商品之外，也有少许的智慧家庭装置，如智慧开关或智慧插头，McAfee所测试的则是Wemo△Insight△Smart△Plug智慧插头，它是一个插座转接器，先插在传统插座上，再连结其它的家电，并以Wemo程式来控制Smart△Plug的供电与否。

Smart△Plug可计算家电的电力使用，可控制供电能力的Wemo还有自动化功能，能定时开启灯光或恒温器，或可启动“Away”模式，不定时地切换家里的电灯供电，让不在家的主人可以伪装屋内有人。一组两个的Wemo△Insight△Smart△Plug售价为74.99美元。

不过，McAfee发现Wemo△Insight△Smart△Plug的韧体含有编号为CVE-2018-6692的安全漏洞，这是一个存在于libUPnPHndlr.so函式库的缓冲区溢位漏洞，允许骇客自远端执行任意程式。

McAfee表示，如果该漏洞只会影响Wemo△Insight△Smart△Plug，那骇客顶多只能一直切换电源，但若该Smart△Plug连结了家中的Wi-Fi网络，骇客就能掌控家中的其它连网装置。

在McAfee所描述的攻击场景中，在成功入侵Wemo△Insight△Smart△Plug之后，可利用内建的UPnP函式库于路由器上建立一个后门通道，借以控制家中的所有连网装置，例如开启或关闭智慧电视，安装或移除电视上的应用程序，也能命令电视存取各种内容。

研究人员提醒，IoT装置的安全性经常被忽视的原因之一是它们通常只被用来执行简单的自动化功能，然而，他们所发现的漏洞却可能成为骇客进入家庭或企业网络的入口，IoT装置上所执行的作业系统应该也要具备与桌面作业系统同等级的安全保障。

McAfee已于今年5月将该漏洞提报给Belkin，但尚未被修补。

橙山网（Csnd.net）简评：Belkin除了制造电脑及手机的周边商品之外，也有...图片来源: McAfee McAfee△Labs本周指出，知名的电脑周边制造商Belkin所生产的智慧插头Wemo△Insight△Smart△