微笑黑客可以远程访问您的三星SmartCam安全摄像头

但令人担忧的是，由于这些物联网（IoTs）设备中缺乏严格的安全措施和不安全的加密机制，这些连接的设备随时都可能遭到攻击。

这一问题的最新受害者是三星的智能摄像头系列。

是的，劫持流行的三星SmartCam安全摄像头非常容易，因为它们包含一个关键的远程代码执行（RCE）漏洞，可能让黑客获得根访问权限并完全控制这些设备。

SmartCam是三星SmartThings系列设备之一，它允许用户使用智能手机或平板电脑连接、管理、监控和控制家中的“智能”设备。

早在2014年，黑客组织剥削者（以前被称为GTVHacker）就列出了一些可能让远程攻击者执行任意命令并更改摄像头管理员密码的SmartCam漏洞。

但三星没有修补该漏洞，而是决定撕毁可访问的网络界面，并使用另一种途径，迫使用户通过该公司的SmartCloud网站运行智能摄像头。

因此，事实证明，黑客再次利用另一种黑客攻击手段侵入三星的SmartCam设备，允许黑客查看本应为私人视频源的内容。

出什么事了？三星已经修补了最初的缺陷，但保留了一组未经修改的脚本：一些PHP脚本通过智能摄像头提供固件更新iWatch“网络摄像头监控软件。

这些PHP脚本有一个命令注入漏洞，允许没有管理员权限的未经授权用户以root权限执行远程shell命令。

“该漏洞是由于对iWatch固件更新文件名进行了不正确的清理而产生的，”攻击者网站上的一篇帖子写道。“精心编制的请求允许攻击者插入其命令，从而使攻击者能够远程执行根命令”。

这一缺陷反过来又允许打开web管理系统，而该系统是由供应商关闭的。
开发者还提供了一个概念验证视频演示，显示他们的漏洞在SmartCam SNH-1011型号上成功工作，但安全专家认为，所有三星SmartCam设备都受到了影响。

如何减轻脆弱性？

三星的官方补丁似乎还没有发布，但好消息是，开发者们共享了一个可以由SmartCam用户下载的DIY补丁。

然而，我个人建议用户等待公司的官方固件更新，而不是在他们的设备上运行不受信任的代码，尽管目前还没有迹象表明三星是否计划在未来几天发布合适的补丁。

另一种缓解漏洞的方法是将SmartCam置于网络防火墙后。

三星尚未就此做出回应。