Sikkerhedskamera rystede med fejl, der lod angriberne hacke din video og dit netværk

En grundig analyse af endnu et internetforbundet sikkerhedskamera har afsløret en lang række softwareproblemer.

Alex Farrant og Neil Biggs, begge forskerholdet for Kontekstoplysninger Sikkerhed i Storbritannien analyserede Motorolas Focus 73, et udendørs sikkerhedskamera. Billeder og video taget af kameraet kan leveres til en mobilapp.

De fandt ud af, at de kunne tage kontrol over kameraet fjernt og kontrollere dets bevægelse, omdirigere videofilen og finde ud af adgangskoden til det trådløse netværk, som enheden er tilsluttet.

Et angreb udnytter a Forfalskning på tværs af webstedet problem. Det var muligt at scanne efter kamera forbundet til internettet og derefter få en omvendt rodskal.

Ved at manipulere med DNS-indstillinger, kunne de opfange de advarsler, som kameraet sender til sin ejer. Angrebskoden, der kunne gøre det muligt at manipulere, kunne plantes på en webside, skrev de i en blogindlæg.

"Hvis nogen skulle se en webside, der indeholder scriptet, kunne det kompromittere og undergrave hvert sårbart kamera på deres netværk automatisk", skrev de. "Surveillance indeed."

DNS-tricket betydede at de også kan se FLV-videoklip, der normalt sendes til en sky-storage-tjeneste, der bruges af enheden.

Motorola Focus 73, som faktisk fremstilles af Binatone, havde også et problem, når du sluttede til et hjem Wi-Fi-netværk.

Når en persons hjemmenetværk er valgt fra en liste, skal du indtaste din private Wi-Fi-sikkerhedsnøgle, som derefter sendes ukrypteret over det åbne netværk, "skrev de.

Så er der et firmware problem. Firmware blev skrevet af et firma kaldet CVision. Det ser ud til at være generisk kode, der blev brugt i andre former for IP-kameraer, "formodentlig at reducere udviklings- og supportomkostninger", skrev de.

Firmwareen er ikke krypteret eller digitalt signeret. Forskerholdet tilføjede en bagdør til sin kode, som de derefter kunne uploade til kameraet.

"Firmware skal underskrives og krypteres som et minimum for at stoppe dårlige firmware uploads eller manipulation," skrev de. "Undladelse af at gøre dette bærer ikke alene sikkerhedsrisici, men også forretningsrisici."

Kontekst anmeldt Motorola skærme af problemerne i begyndelsen af ​​oktober. Siden da har Motorola og partnere, der har bygget software til enheden - herunder Bintone, Hubble Connected, Nuvoton og CVision - arbejdet med patches.

Firmware opdateringer blev udgivet en måned senere, og flere rettelser "rulles i øjeblikket til kundernes kameraer via en automatiseret opdateringsproces," skrev de.

Giv en kommentar

Dette websted bruger Akismet til at reducere spam. Lær, hvordan dine kommentardata behandles.