1. 科技訊首頁(yè)
  2. 新聞

宇樹科技確認(rèn)機(jī)器狗漏洞源于第三方密鑰泄露

檸萌 ? ? 新聞
宇樹科技確認(rèn)機(jī)器狗漏洞源于第三方密鑰泄露

針對(duì)此前曝光的Go1機(jī)器狗安全漏洞事件,宇樹科技發(fā)布官方調(diào)查報(bào)告,確認(rèn)該問(wèn)題系第三方云隧道服務(wù)管理密鑰遭非法劫持所致。黑客通過(guò)該密鑰遠(yuǎn)程操控用戶設(shè)備并訪問(wèn)實(shí)時(shí)視頻流,存在隱私泄露風(fēng)險(xiǎn)。

?漏洞溯源:?

  • 攻擊者利用第三方云服務(wù)商提供的管理密鑰,突破設(shè)備高級(jí)權(quán)限
  • 入侵者可修改設(shè)備程序、調(diào)取攝像頭數(shù)據(jù)及運(yùn)動(dòng)控制權(quán)限
  • 涉事密鑰自2023年12月起投入使用,至2025年3月24日完成更換

宇樹科技在調(diào)查中強(qiáng)調(diào),涉事云隧道服務(wù)由外部供應(yīng)商運(yùn)營(yíng),公司已于3月29日全面關(guān)閉該服務(wù)通道。目前所有Go1設(shè)備已推送V2.8.3固件更新,徹底切斷潛在入侵路徑。

?處置時(shí)間線:?

  • 2025.3.24:重置所有用戶設(shè)備的云隧道管理密鑰
  • 2025.3.27:向國(guó)家計(jì)算機(jī)應(yīng)急響應(yīng)中心提交漏洞報(bào)告
  • 2025.3.29:永久停用問(wèn)題隧道服務(wù),啟用本地加密直連方案

根據(jù)產(chǎn)品支持頁(yè)面顯示,Go1系列用戶可通過(guò)設(shè)備管理App進(jìn)行安全自檢。宇樹科技同時(shí)開通專線受理數(shù)據(jù)泄露咨詢,并在GitHub公開了漏洞修復(fù)代碼。

值得關(guān)注的是,此次事件涉及的第三方服務(wù)商未在公告中具名。宇樹科技透露,正在與歐盟網(wǎng)絡(luò)安全局合作推進(jìn)新版安全架構(gòu)認(rèn)證,預(yù)計(jì)6月完成全球設(shè)備的安全審計(jì)。

原創(chuàng)文章,作者:檸萌,如若轉(zhuǎn)載,請(qǐng)注明出處:http://m.2079x.cn/article/718121.html

檸萌的頭像檸萌管理團(tuán)隊(duì)

相關(guān)推薦

發(fā)表回復(fù)

登錄后才能評(píng)論