Το IoT (Internet-of-Things) είναι γεγονός πως δεν τα πήγαινε ποτέ καλά με την ασφάλεια. Σήμερα το θύμα του φαίνεται να είναι οι οικιακές κάμερες ασφαλείας Guardzilla οι οποίες φέρουν ένα σοβαρό bug σε μία από τις εκδόσεις τους, καθώς επιτρέπουν σε οποιονδήποτε κάτοχό τους να παρακολουθεί το video stream άλλων κατόχων. 

Το μοντέλο GZ501W έχει ένα hard-coded (δηλαδή προγραμματισμένο στο υλικό της κάμερας, αδύνατο να αλλάξει από το χρήστη) κωδικό ο οποίος του επιτρέπει να σώζει το video stream σε έναν Amazon S3 στο cloud της διάσημης εταιρείας. Καθώς το password είναι κοινό σε όλες τις συσκευές, ο κάθε χρήστης μπορεί να παρακολουθήσει το video stream άλλων χρηστών. Επίσης, ο οποιοσδήποτε μπορεί να έχει πρόσβαση στα video streams αν γνωρίζει τα credentials του server αποθήκευσης.

“Τα ενσωματωμένα πιστοποιητικά του S3 έχουν απεριόριστη πρόσβαση σε όλους τους buckets του S3 που προβλέπονται για αυτόν το λογαριασμό, εξήγησαν οι ερευνητές της Rapid7 σε σημερινή δημοσίευση. “Αυτό προσδιορίστηκε μέσω της στατιστικής ανάλυσης της μεταφοράς υλικολογισμικού που ήταν εγκατεστημένη στη συσκευή. Μόλις εξαχθεί το υλικολογισμικό και ο root κωδικός πρόσβασης “GMANCIPC”, το κλειδί πρόσβασης στο Amazon S3 έχει ανακτηθεί. ” 

Καθώς δεν έχει υπάρξει καμία κίνηση από την εταιρεία για τη δημοσίευση κάποιου patch είναι αναγκαίο οι χρήστες να απενεργοποιήσουν τη ρύθμιση αποθήκευσης του video stream στο cloud.

ΑΦΗΣΤΕ ΜΙΑ ΑΠΑΝΤΗΣΗ

Please enter your comment!
Please enter your name here

This site uses Akismet to reduce spam. Learn how your comment data is processed.