Hackers θα μπορούσαν να σερβίρουν ψεύτικο βίντεο κάνοντας το inject στο δημοφιλές κιτ παρακολούθησης για το σπίτι Dropcam. Αμέσως μετά, μπορούν να χρησιμοποιήσουν το σύστημα για να επιτεθούν σε δίκτυα, η να κάνουν μια ληστεία, αναφέρουν οι ερευνητές Patrick Wardle και Colby Moore.
Οι επιθέσεις προϋποθέτουν να έχουν οι επιτιθέμενοι φυσική πρόσβαση στις συσκευές, και τα exploits χρησιμοποιούν την ευπάθεια Heartbleed.
Το Drοpcam είναι μια πλατφόρμα παρακολούθησης βίντεο που τον περασμένο μήνα αγοράστηκε από τη Nest Labs της Google για 555 εκατομμύρια δολάρια.
Ο Wardle (@patrickwardle) and Moore (@colbymoore) της εταιρείας ασφάλειας Synack, που εδρεύει στη California,κατάφεραν με reverse-engineering, (αντίστροφη μηχανική) στο υλικό και στο λογισμικό του Drοpcam να εμφυτεύσουν malware στις συσκευές. Με αυτό τον τρόπο μπορούν να επιτεθούν σε σπίτια ή και εταιρικά δίκτυα.
“Αν κάποιος έχει φυσική πρόσβαση, το παιχνίδι έχει τελειώσει”, ανέφερε ο Wardle στο DarkReading.
“Η κάμερα είναι ευάλωτη σε επιθέσεις Heartbleed client-side. Θα μπορούσατε να κοροϊδέψετε το διακομιστή DNS της Dropcam.”
Το δίδυμο θα περιγράψει την ευπάθεια της Drοpcam κατά τη διάρκεια της ομιλίας ” Optical surgery; Implanting a Dropcam” στο προσεχές συνέδριο DEF CON 22 που θα πραγματοποιηθεί στο Las Vegas τον επόμενο μήνα.