索尼神坑！世界最强安防摄像头IPELA Engine藏后门

后门是软硬件产品中比较敏感的存在，也许你可以说这是为了debug、为了法律目的（政府的合法入侵）甚至是用户侧的admin高级控制台，但一旦被歹人了利用，后患无穷。

近日，安全公司SEC Consult曝出了索尼安防摄像头的后门漏洞，竟然影响了高达80款索尼“IPELA ENGINE”的网络摄像头产品。

IPELA ENGINE是索尼2012年推出的闭路视频监控引擎，集成Exmor CMOS，号称业界最优画质，被很多商业机构、警用安保等机构采用，甚至获评世界最佳安防系统。

在就在最新固件中，SEC发现了两大后门——

1、Hardcoded密码和root账户

学过编程应该知道，Hardcoded也就是硬编码，并非变量，是写死的固定内容，SEC开发的工具软件IoT侵入者于是便通过穷举法来获取到密码内容。

同时，SEC还发现了隐藏的root口令，达到让所有人以超级管理员身份登录。

2、两个Debugging账户

索尼挖的坑还不止与此。索尼为固件修复留了两个debug调试账户，一个用户名“primana”密码“primana”，还有一个用户名“debug”密码“popeyeConnection”。

debug账户因为可以远程访问，所以危险系数更高，比如被不法分子用集群服务器攻击。

SEC已经将报告递交索尼，后者也在新固件对上述问题进行了修复。至于为什么要留后门以及到底用来干什么，索尼拒绝回复。

已知受影响的设备清单——