Fibaro Home Center 智能家居系统默认口令

前言

Fibaro Home Center 智能家居系统默认账号密码 admin/admin ,扫描发现网络上不少用户还依然使用的是默认账号密码,登录后可直接远程控制家里的各种设备,包括窗帘~

案例

shodan.io搜索到结果不少

火狐截图_2016-10-25t05-35-24.397z.png - 大小: 190.76 KB - 尺寸:  x  - 点击打开新窗口浏览全图
举个例子(图片较大)
火狐截图_2016-10-25t05-38-11.092z.png - 大小: 454.24 KB - 尺寸:  x  - 点击打开新窗口浏览全图
我自己的检索平台也搜索到了一些
火狐截图_2016-10-25t05-38-32.277z.png - 大小: 99.99 KB - 尺寸: 558 x 211 - 点击打开新窗口浏览全图

分析

查看接口返回的数据里面有email地址

2016-10-25 13-37-28屏幕截图.png - 大小: 158.68 KB - 尺寸: 800 x 852 - 点击打开新窗口浏览全图
多用户的情况下直接返回了用户列表
2016-10-25 13-52-11屏幕截图.png - 大小: 89.87 KB - 尺寸: 800 x 852 - 点击打开新窗口浏览全图
而接口

/api/settings/info

则是无需授权即可访问,返回的是设备的相关信息

2016-10-25 13-59-42屏幕截图.png - 大小: 16.83 KB - 尺寸: 772 x 142 - 点击打开新窗口浏览全图
编写自动化测试脚本批量获取系统信息
2016-10-25 14-11-42屏幕截图.png - 大小: 163.99 KB - 尺寸:  x  - 点击打开新窗口浏览全图

后记

这个问题我很早的时候就在乌云上提交过,只是没有通过审核,可能是因为案例太少,问题说大也不算大,毕竟是因为用户自己的失误导致,但是问题始终是问题,可以避免的最好还是强制用户修改一下比较妥当。

如果您觉得文章有帮助到您,请到 https://www.92ez.com/index.php?action=show&id=23403 进行打赏/捐赠,谢谢!
本文链接:https://www.92ez.com/?action=show&id=23421
提示:技术文章有一定的时效性,请先确认是否适用你当前的系统环境。

上一篇: 大量Ruckus无线路由器使用了默认的超级账号
下一篇: 偶遇阿里云网站故障

访客评论
#1
回复 kintio 2016-10-30, 12:35 AM
智能家居的安全性确实比较差~
回复 KBdancer 2016-10-30, 12:39 AM
@kintio: 规范比较乱~没个统一的
回复 KBdancer 2016-10-30, 12:42 AM
@kintio: 一些无线产品的问题更多!
发表评论

评论内容 (必填):