Bezpečnostní kamera plná chyb, které dovolí útočníkům hackovat video a vaši síť

Hloubková analýza další bezpečnostní kamery připojené k internetu odhalila řadu softwarových problémů.

Alex Farrant a Neil Biggs, oba výzkumné týmy pro Kontextová bezpečnostní informace ve Velké Británii, analyzoval Motorola Focus 73, venkovní kameru. Obrázky a video pořízené fotoaparátem lze dodat do aplikace pro mobilní telefony.

Zjistili, že mohou dálkově ovládat kameru a ovládat její pohyb, přesměrovat video kanál a zjistit heslo pro bezdrátovou síť, ke které je zařízení připojeno.

Jeden útok využívá a žádost o udělení víza mezi uživateli problém. Bylo možné skenovat fotoaparát připojený k Internetu a získat zpětnou kořenovou skořepinu.

Při manipulaci s nastavením DNS by mohly zachytit výstrahy, které kamera pošle vlastníkovi. Kódy útoku, které by mohly umožnit zasahování do webových stránek, byly napsány v blogu.

"Pokud by někdo prohlížel webovou stránku obsahující úryvek skriptu, mohl by automaticky ohrozit a vyvrátit každý zranitelný fotoaparát v jejich síti," napsali. "Opravdu."

Trik DNS znamenal, že mohou také vidět videoklipy ve formátu FLV, které by byly obvykle odesílány do služby pro ukládání dat v cloudu, které zařízení používá.

Motorola Focus 73, který je ve skutečnosti vyráběn firmou Binatone, měl také problém při připojení k domácí síti Wi-Fi.

Když je domovská síť vybrána ze seznamu, "musíte zadat váš soukromý bezpečnostní klíč Wi-Fi, který pak bude vysílán nezašifrovaný přes otevřenou síť," napsali.

Poté nastala chyba firmwaru. Firmware byl napsán firmou CVision. Zdá se, že je to obecný kód, který byl použit v jiných druzích IP kamer, "pravděpodobně ke snížení nákladů na vývoj a podporu," napsali.

Firmware není šifrován nebo digitálně podepsán. Výzkumný tým přidal zadní část svého kódu, který pak mohl nahrát do kamery.

"Firmware by měl být podepsán a šifrován minimálně, aby se zastavilo špatné nahrání firmwaru nebo manipulace," napsali. "Pokud tak neučiníte, nese jen bezpečnostní rizika, ale i obchodní rizika."

Kontext oznámil společnosti Motorola monitorování problémů na začátku října. Od té doby pracují Motorola a partneři, kteří vybudovali software pro zařízení - včetně Bintone, Hubble Connected, Nuvoton a CVision - na opravách.

Aktualizace firmwaru byly vydány o měsíc později a další opravy "se v současné době rozšiřují na kamery zákazníků prostřednictvím automatizované aktualizace," napsali.

Napsat komentář