问题背景
近期安全研究人员发现,360随身WiFi云U盘存在账号共享漏洞,当设备被非绑定用户接入时,云端存储的敏感文件可能通过WiFi直连功能被恶意读取。该产品整合的远程访问模块更被证实存在未授权API调用风险。
数据泄露路径分析
漏洞主要存在于三个层面:
- 设备绑定逻辑缺陷:允许通过恢复出厂设置绕过原账号验证
- 临时令牌泄露:WiFi热点建立时生成的临时密钥未加密存储
- 云端同步漏洞:已删除文件仍保留在CDN缓存节点
远程访问漏洞验证
通过逆向工程发现,远程访问功能依赖的P2P穿透协议存在设计缺陷:
- 构造伪造的DTLS握手包
- 利用会话ID碰撞获取通道控制权
- 注入恶意指令读取设备文件列表
用户应对措施
建议现有用户立即执行以下操作:
- 升级固件至v3.2.18以上版本
- 关闭「自动同步云端」功能
- 在路由器设置MAC地址白名单
- 定期检查设备登录日志
内容仅供参考,具体资费以办理页面为准。其原创性以及文中表达的观点和判断不代表本网站。如有问题,请联系客服处理。
本文由神卡网发布。发布者:编辑员。禁止采集与转载行为,违者必究。出处:https://www.9m8m.com/665059.html
