小米总是让人有无数的遐想,它的每个商品都让人为之惊讶。小米公司以智能家居解决方案,采用多硬件互动等方式,给用户带来了非常良好的体验。 在提供极大的便捷的同时也引入了一些风险。在使用路由器“访客用户”进入局域网络中时,可以再非授权的情况下访问到小蚁摄像头的应用管理程序。造成摄像头视频文件泄露、家庭wifi密码泄露等问题。给用户带来了一定的安全风险。 问题描述: 当前是以访客权限接入无线网络,是不能够访问到路由器的管理地址的。 但是可以访问到同一局域网内的其它设备。 并且能够访问小蚁摄像头的配置文件等信息。 通过读取小蚁摄像头的配置文件。可以获得路由器无线接入的密码。(从此翻身做主人,拥有主人权限和带宽不是梦) 并且可以下载小蚁摄像头中存放的视频文件。(有了这个我们可以看直播了) 整个过程中,主要的问题出现在智能设备联动的时候没有控制好网络的访问权限,如果是“访客用户”接入网络,建议将访客用户IP划入单独的vlan中,或者采用端口隔离技术,控制访问权限。 安全建议: 禁用guest网络模式,等待官方更新路由器固件补丁。 配置路由器无线用户隔离功能,要求在同一无线网络中客户不能相互访问。 |