Camerele video pentru monitorizarea copiilor pot fi usor deturnate
O analiză de securitate a nouă dispozitive de monitorizare a copiilor de la diferiți producători a dezvăluit vulnerabilități serioase.
Este vorba despre defecțiuni de design, care permit hackerilor să deturneze imaginile video sau să preia controlul asupra dispozitivului. Rapoartele deranjante din ultimii ani despre cei care preluau contolul asupra dispozitivelor de monitorizare a copiilor și țipau apoi la copii au speriat părinții, dar aceste incidente, aparent, nu i-au speriat și pe cei care produc astfel de dispozitive spune csoonline.com.
Testele au fost făcute în prima jumătate a acestui an de cercetători de la firma de securitateRapid7 iar rezultatele au fost publicate recent. Pe o scală de la A la F care a apreciat securitatea implementată și cea funcțională, opt dintre dispozitive au primit nota F și unul nota D.
Cercetătorii de la Rapid7 au gasit coduri de identificare a dispozitivelor bine codate și ascunse care ofereau acces local la distanță serviciilor ca SSH sau Telnet; videoclipurile care erau trimise catre telefonul utilizatorului nu erau criptate; funcțiile aplicațiilor de web sau pentru telefoane mobile nu erau criptate și API keys (application programming interface) erau neprotejate; și s-au găsit și alte vulnerabilități care pot să le dea posibilitatea hackerilor să abuzeze de dispozitive.
În cazul în care credeți că prețul acestor dispozitive face diferența, credeți greșit. Dispozitivele testate costă între 55 de dolari și 255 de dolari. Ele sunt: Gyonii GCW-1010, iBaby M3S, iBaby M6, Lens LL-BC01W, Philips B120/37, Summer Infant Baby Zoom 28630, TRENDnet TV-IP743SIC, WiFiBaby WFB2015 și Withing WBP01.
Trei dintre dispozitive au diferite vulnerabilități majore au spus cercetătorii de la Rapid7.
Dispozitivul Philips In.Sight B210 e creat să se conecteze la un server web pe internet care este folosit ca un proxy server pentru a vedea live imaginile transmise de camera video. Nu necesită nici o autentificare sau criptare și fiecare cameră video primește un hostname și un număr de port dintr-o arie bine determinată.
Asta înseamnă că atacatorii pot folosii tehnologii care acționează cu forță brută pentru a descoperi și accesa camerele. Ei nu numai că pot avea acces la imaginile camerelor de filmat în direct, dar pot de asemenea să schimbe setările sau să activeze accesul Telnet de la distanță, au spus cercetătorii.
iBaby M6 se conecteză la un serviciu de cloud unde stochează înregistrările video. Accesarea acestui server cere numai cunoașterea codului de fabricație al camerei care este folosit în URL.
„Printr-un singur cod, un hacker poate obtine acces la orice clip video înregistrat vreodată pentru orice cameră video activată în cadrul serviciului,” au spus cercetătorii de la Rapid7.
Dispozitivul Summer Infat Baby Zoom de asemenea se conecteaza la un server web izolat care da voie să adaugi vizitatori ca să vada imaginile de pe camera video fără să ceară parola sau autorizare.
”Prin folosire unui indentificator de utilizatori pe un site, un hacker poate adauga o adresă de email la alegere pentru fiecare cameră video și se poate loga să se uite la orice cameră alege,” au scris cercetătorii.
Rapid7 a raportat problemele pe care le-a găsit către producătorii afectați în iulie. Câțiva dintre vanzători au răspuns și au rezolvat o parte dintre probleme, sau au dezactivat funcțiile vulnerabile, dar multe vulnerabilități rămân nerezolvate.
Philips a fost cel mai mai receptiv dintre producătorii afectați, au menționat cercetătorii.
Crecetătorii de la Rapid7 au inclus posibile îmbunătățiri în studiul lor și au sfătuit utilizatorii să contacteze furnizorii produselor petru a le cere rezolvarea problemelor prin actualizarea progamelor software.