漏洞披露与背景
近期,中兴随身WiFi设备被曝存在多个高危安全漏洞。研究人员发现,部分型号因固件版本过旧,存在未修复的远程代码执行(RCE)风险,攻击者可借此控制设备并窃取用户数据。此问题最早由第三方安全团队在2023年第四季度披露。
安全漏洞的技术分析
主要漏洞集中在以下三方面:
- 固件签名验证缺失:允许未经授权的固件更新
- 默认弱密码问题:出厂预设密码未强制修改
- HTTP协议未加密:管理界面数据传输可被截获
用户配置不当的影响
约68%的受影响设备用户未更改初始密码,且仅有12%定期更新固件。这使得攻击者可通过公开工具批量扫描暴露设备,进一步扩大安全威胁范围。
第三方应用的风险
中兴官方应用商店中,部分配套管理应用存在以下问题:
- 过度申请通讯录权限
- 未声明数据共享第三方SDK
- 缺乏Google Play Protect认证
供应链攻击的可能性
安全团队在设备预装固件中发现可疑代码模块,这些模块可能在生产环节被植入。目前中兴尚未公开相关代码的完整审计报告。
用户应对策略
建议采取以下措施:
- 立即修改设备默认登录凭证
- 升级固件至2024年1月发布的安全版本
- 关闭不必要的远程管理功能
中兴随身WiFi的安全问题凸显IoT设备在快速迭代过程中对安全性的忽视。厂商需建立更严格的漏洞响应机制,而用户应提高基础安全防护意识,双管齐下方能有效降低风险。
内容仅供参考,具体资费以办理页面为准。其原创性以及文中表达的观点和判断不代表本网站。如有问题,请联系客服处理。
本文由神卡网发布。发布者:编辑员。禁止采集与转载行为,违者必究。出处:https://www.9m8m.com/964875.html
