ESET ευπάθεια σε cam επιτρέπει παρακολούθηση του ιδιοκτήτη

Σύμφωνα με την τελευταία έρευνα της για το IoT, η cloud κάμερα D-Link DCS-2132L παρουσιάζει πολλά τρωτά σημεία ασφαλείας, που επιτρέπουν την πρόσβαση σε μη εξουσιοδοτημένα πρόσωπα. Σύμφωνα με ενημέρωση από πλευράς κατασκευαστή, έχουν επιδιορθωθεί κάποιες από τις ευπάθειες, ωστόσο υπάρχουν ακόμη προβλήματα.eset

«Το πιο σοβαρό με την cloud κάμερα D-Link DCS-2132L είναι το μη κρυπτογραφημένο video streaming. Εκτελείται χωρίς κρυπτογράφηση και στις δύο – μεταξύ της κάμερας και του cloud και μεταξύ του cloud και της εφαρμογής που χρησιμοποιεί ο χρήστης. Ως αποτέλεσμα, προσφέρεται πρόσφορο έδαφος για επιθέσεις (MitM) και επιτρέπεται στους εισβολείς να κατασκοπεύουν τις ροές βίντεο των θυμάτων», εξηγεί ο Milan Fránik, ερευνητής στο ESET Research Lab στη Μπρατισλάβα.

Ένα άλλο σοβαρό πρόβλημα που εντοπίστηκε στην κάμερα ήταν κρυμμένο στο plug-in της εφαρμογής «myDlink services» για web browser. Πρόκειται για μία από τις εφαρμογές παρακολούθησης που έχει στη διάθεσή του ο χρήστης. Διατίθενται και εφαρμογές για mobile, οι οποίες ωστόσο δεν ήταν μέρος της έρευνας της ESET.

To συγκεκριμένο plug-in διαχειρίζεται τη δημιουργία της σύνδεσης TCP και την αναπαραγωγή live video στο πρόγραμμα περιήγησης του χρήστη, αλλά είναι επίσης υπεύθυνη για την προώθηση αιτημάτων για streaming δεδομένων τόσο βίντεο όσο και ήχου μέσω μίας σύνδεσης, η οποία «ακούει» μια θύρα που έχει ανοίξει στο localhost.

«Η ευπάθεια του plug-in θα μπορούσε να επιφέρει σοβαρές συνέπειες στην ασφάλεια της κάμερας, καθώς επέτρεπε στους εισβολείς να αντικαταστήσουν το νόμιμο firmware με ένα δικό τους πλαστό ή με μία έκδοση με back-door» σημειώνει ο Fránik.

Η ESET έχει αναφέρει όλες τις ευπάθειες που βρέθηκαν στον κατασκευαστή. Από τότε, ορισμένες από τις ευπάθειες – κυρίως στο plug-in myDlink – επιδιορθώθηκαν και ενημερώθηκαν με patch, αλλά εξακολουθούν να υπάρχουν ζητήματα με τη μη κρυπτογραφημένη μετάδοση.

Για αναλυτικότερη περιγραφή των τρωτών σημείων και των πιθανών σεναρίων επίθεσης, διαβάστε την έρευνα «D-Link camera vulnerability allows attackers to tap into the video stream» στο site της ESET, WeLiveSecurity.com.

__________________

iGuRu.gr The Best Technology Site in Greeceggns

Get the best viral stories straight into your inbox!















newsbot

Written by newsbot

Αν και τα δελτία τύπου θα είναι από πολύ επιλεγμένα έως και σπάνια, είπα να περάσω ... γιατί καμιά φορά κρύβονται οι συντάκτες.

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *

Το μήνυμα σας δεν θα δημοσιευτεί εάν:
1. Περιέχει υβριστικά, συκοφαντικά, ρατσιστικά, προσβλητικά ή ανάρμοστα σχόλια.
2. Προκαλεί βλάβη σε ανηλίκους.
3. Παρενοχλεί την ιδιωτική ζωή και τα ατομικά και κοινωνικά δικαιώματα άλλων χρηστών.
4. Διαφημίζει προϊόντα ή υπηρεσίες ή διαδικτυακούς τόπους .
5. Περιέχει προσωπικές πληροφορίες (διεύθυνση, τηλέφωνο κλπ).