虽然人们一直在努力保护自己的电子设备不被黑客入侵，但是黑客是那么聪（jiao）明（hua），他们总会找到新方法来入侵你的设备。虽然你也可以相信一旦漏洞被发现，它们将在几天至几周之内得到厂商的修复，但是事实并不总是这样。

最近专家们发现了一个在智能设备软件组件中存在着有三年之久的漏洞，该漏洞影响了610万的智能设备，多个厂家尚未对该漏洞进行修复。由此，智能电视，路由器，智能手机以及其他许多的物联网（loT）设备面临极大威胁。

近日趋势专家的安全研究员将这个自2012年就被发现但是仍未修复的漏洞曝光。

远程控制执行代码漏洞

安全研究员们发现了便携式UPnP以及libupnp设备SDK中存在一系列远程执行代码（RCE）漏洞——一个由诸多移动设备，路由器，智能电视以及其他物联网设备开发者使用的互联网媒体流文件软件库。

这个漏洞通过简单服务发现协议（SSDP）的缓冲区溢出，某些版本的SDK中存在有该漏洞，通过该漏洞攻击者可以获得目标设备的全部控制权。

研究员称，这个漏洞实际上在2012年已经被修复，但是许多应用仍然使用老版本的库，该库允许攻击者对安装了有缺陷app的设备进行远程代码执行攻击。

“我们发现有547款app使用老版本的libupnp，其中的326个应用是由Google Play Store 提供的。”趋势科技移动分析师 Veo Zhang 在上周四发布的一篇blog中写道。

有缺陷App被百万用户下载使用

这些开发商开发的有缺陷的App中影响范围最广的可以说是QQMusic了，单单在中国就有百万用户受到影响，并且在Google Play Store中也有百万下载量。虽然，这个安全问题近日已经被开发商修复了。

移动分析师也认为该漏洞影响了 Netflix公司的移动程序，其有百万次的下载量，

“根据Netflix与我们的进一步交流，我们了解到Netflix使用了他们自己的libupnp，它已经不再是libupnp的一部分了。”他们使用的这个版本包含了新版本中对于libupnp的修复，所以我们相信该公司的应用不会被这个潜在移动代码执行攻击漏洞所影响。“

其他的一些受欢迎的应用通过使用老版本library的还包括三星的 nScreen Mirroring， CameraAccess Plus 与 Smart TV Remote。

受该漏洞影响App列表

下面的列表中显示了趋势科技分析师已经实际测试与分析过的部分受影响App：

通用名	Package Name
AirSmartPlayer	com.gk.airsmart.main
Big2Small	com.alitech.dvbtoip
CameraAccess plus	jp.co.pixela.cameraaccessplus
G-MScreen	mktvsmart.screen
HexLink Remote (TV client)	hihex.sbrc.services
HexLink-SmartTV remote control	com.hihex.hexlink
Hisense Android TV Remote	com.hisense.commonremote
nScreen Mirroring for Samsung	com.ht.nscreen.mirroring
Ooredoo TV Oman	com.ooredootv.ooredoo
PictPrint – WiFi Print App –	jp.co.tandem.pictprint
qa.MozaicGO.Android	Mozaic GO
QQMusic	com.tencent.qqmusic
QQ音乐HD	com.tencent.qqmusicpad
Smart TV Remote	com.hisense.common
Wifi Entertainment	com.infogo.entertainment.wifi
モバイルTV(StationTV)	jp.pixela.px01.stationtv.localtuner.full.app
에브리온TV (무료 실시간 TV)	com.everyontv
多屏看看	com.letv.smartControl
海信分享	com.hisense.hishare.hall

虽然QQ音乐以及LinPhone（IP电话工具）都表示这个问题已经被解决，并且发布了修复了该漏洞的新版本应用。

趋势科技的安全专家们也将会继续检查其他有可能被该漏洞影响的App。

威客安全小编建议大家：

检查自己的移动设备上是否安装了上表的这些app

您可以暂时通过删除该App或者升级解决这个问题。