ESET ευπάθεια σε cam επιτρέπει παρακολούθηση του ιδιοκτήτη

Σύμφωνα με την τελευταία έρευνα της ESET για το IoT, η cloud κάμερα D-Link DCS-2132L παρουσιάζει πολλά τρωτά σημεία ασφαλείας, που επιτρέπουν την πρόσβαση σε μη εξουσιοδοτημένα πρόσωπα. Σύμφωνα με ενημέρωση από πλευράς κατασκευαστή, έχουν επιδιορθωθεί κάποιες από τις ευπάθειες, ωστόσο υπάρχουν ακόμη προβλήματα.eset

«Το πιο σοβαρό πρόβλημα με την cloud κάμερα D-Link DCS-2132L είναι το μη κρυπτογραφημένο video streaming. Εκτελείται χωρίς κρυπτογράφηση και στις δύο συνδέσεις – μεταξύ της κάμερας και του cloud και μεταξύ του cloud και της εφαρμογής που χρησιμοποιεί ο χρήστης. Ως αποτέλεσμα, προσφέρεται πρόσφορο έδαφος για επιθέσεις man-in-the-middle (MitM) και επιτρέπεται στους εισβολείς να κατασκοπεύουν τις ροές βίντεο των θυμάτων», εξηγεί ο Milan Fránik, ερευνητής στο ESET Research Lab στη Μπρατισλάβα.

Ένα άλλο σοβαρό πρόβλημα που εντοπίστηκε στην κάμερα ήταν κρυμμένο στο plug-in της εφαρμογής «myDlink services» για web browser. Πρόκειται για μία από τις εναλλακτικές εφαρμογές παρακολούθησης που έχει στη διάθεσή του ο χρήστης. Διατίθενται και εφαρμογές για mobile, οι οποίες ωστόσο δεν ήταν μέρος της έρευνας της ESET.

  Lumix DMC-GH4, η πρώτη Mirrorless 4K κάμερα από την Panasonic

To συγκεκριμένο plug-in διαχειρίζεται τη δημιουργία της σύνδεσης TCP και την αναπαραγωγή live video στο πρόγραμμα περιήγησης του χρήστη, αλλά είναι επίσης υπεύθυνη για την προώθηση αιτημάτων για streaming δεδομένων τόσο βίντεο όσο και ήχου μέσω μίας σύνδεσης, η οποία «ακούει» μια θύρα που έχει ανοίξει στο localhost.

«Η ευπάθεια του plug-in θα μπορούσε να επιφέρει σοβαρές συνέπειες στην ασφάλεια της κάμερας, καθώς επέτρεπε στους εισβολείς να αντικαταστήσουν το νόμιμο firmware με ένα δικό τους πλαστό ή με μία έκδοση με back-door» σημειώνει ο Fránik.

Η ESET έχει αναφέρει όλες τις ευπάθειες που βρέθηκαν στον κατασκευαστή. Από τότε, ορισμένες από τις ευπάθειες – κυρίως στο plug-in myDlink – επιδιορθώθηκαν και ενημερώθηκαν με patch, αλλά εξακολουθούν να υπάρχουν ζητήματα με τη μη κρυπτογραφημένη μετάδοση.

Για αναλυτικότερη περιγραφή των τρωτών σημείων και των πιθανών σεναρίων επίθεσης, διαβάστε την έρευνα «D-Link camera vulnerability allows attackers to tap into the video stream» στο site της ESET, WeLiveSecurity.com.

  Συνωμοσιολόγοι για την αποστολή του Philae

__________________

Ακολουθήσετε μας στο Google News iGuRu.gr at Google news

Written by newsbot

Αν και τα δελτία τύπου θα είναι από πολύ επιλεγμένα έως και σπάνια, είπα να περάσω ... γιατί καμιά φορά κρύβονται οι συντάκτες.

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται.

Το μήνυμα σας δεν θα δημοσιευτεί εάν:
1. Περιέχει υβριστικά, συκοφαντικά, ρατσιστικά, προσβλητικά ή ανάρμοστα σχόλια.
2. Προκαλεί βλάβη σε ανηλίκους.
3. Παρενοχλεί την ιδιωτική ζωή και τα ατομικά και κοινωνικά δικαιώματα άλλων χρηστών.
4. Διαφημίζει προϊόντα ή υπηρεσίες ή διαδικτυακούς τόπους .
5. Περιέχει προσωπικές πληροφορίες (διεύθυνση, τηλέφωνο κλπ).


78  +    =  87