Jump to content
  • Latest Reviews

    All Reviews
  • Ειδήσεις

    Έρευνα της ESET εντοπίζει ευπάθεια σε κάμερα που επιτρέπει την κατασκοπεία του ιδιοκτήτη της

    Σύμφωνα με την τελευταία έρευνα της ESET για το IoT, η cloud κάμερα D-Link DCS-2132L παρουσιάζει πολλά τρωτά σημεία ασφαλείας, που επιτρέπουν την πρόσβαση σε μη εξουσιοδοτημένα πρόσωπα. Σύμφωνα με ενημέρωση από πλευράς κατασκευαστή, έχουν επιδιορθωθεί κάποιες από τις ευπάθειες, ωστόσο υπάρχουν ακόμη προβλήματα.


    «Το πιο σοβαρό πρόβλημα με την cloud κάμερα D-Link DCS-2132L είναι το μη κρυπτογραφημένο video streaming. Εκτελείται χωρίς κρυπτογράφηση και στις δύο συνδέσεις –  μεταξύ της κάμερας και του cloud και μεταξύ του cloud και της εφαρμογής που χρησιμοποιεί ο χρήστης. Ως αποτέλεσμα, προσφέρεται πρόσφορο έδαφος για επιθέσεις man-in-the-middle (MitM) και επιτρέπεται στους εισβολείς να κατασκοπεύουν τις ροές βίντεο των θυμάτων», εξηγεί ο Milan Fránik, ερευνητής στο ESET Research Lab στη Μπρατισλάβα.

     

    Figure-1-768x429.png


    Ένα άλλο σοβαρό πρόβλημα που εντοπίστηκε στην κάμερα ήταν κρυμμένο στο plug-in της εφαρμογής «myDlink services» για web browser. Πρόκειται για μία από τις εναλλακτικές εφαρμογές παρακολούθησης που έχει στη διάθεσή του ο χρήστης. Διατίθενται και εφαρμογές για mobile, οι οποίες ωστόσο δεν ήταν μέρος της έρευνας της ESET.


    To συγκεκριμένο plug-in διαχειρίζεται τη δημιουργία της σύνδεσης  TCP και την αναπαραγωγή live video στο πρόγραμμα περιήγησης του χρήστη, αλλά είναι επίσης υπεύθυνη για την προώθηση αιτημάτων για streaming δεδομένων τόσο βίντεο όσο και ήχου μέσω μίας σύνδεσης, η οποία «ακούει» μια θύρα που έχει ανοίξει στο localhost.


    «Η ευπάθεια του plug-in θα μπορούσε να επιφέρει σοβαρές συνέπειες στην ασφάλεια της κάμερας, καθώς επέτρεπε στους εισβολείς να αντικαταστήσουν το νόμιμο firmware με ένα δικό τους πλαστό ή με μία έκδοση με back-door» σημειώνει ο Fránik.


    Η ESET έχει αναφέρει όλες τις ευπάθειες που βρέθηκαν στον κατασκευαστή. Από τότε, ορισμένες από τις ευπάθειες - κυρίως στο plug-in myDlink – επιδιορθώθηκαν και ενημερώθηκαν με patch, αλλά εξακολουθούν να υπάρχουν ζητήματα με τη μη κρυπτογραφημένη μετάδοση. 


    Για αναλυτικότερη περιγραφή των τρωτών σημείων και των πιθανών σεναρίων επίθεσης, διαβάστε την έρευνα «D-Link camera vulnerability allows attackers to tap into the video stream» στο site της ESET, WeLiveSecurity.com.
     


    • Like 2


    User Feedback

    Recommended Comments

    Φανταστείτε τί γίνεται με τις κάμερες κινεζιές των λίγων ευρώ....

    Share this comment


    Link to comment
    Share on other sites

    θυμάμαι πριν χρονια είχα πετύχει μερικές ανοικτες, μάλιστα μια συγκεκριμένη ηταν διπλα απο την τηλεόραση και εβλεπα στον καναπέ εναν Κινεζο πάτερα με 2 παιδιά να βλέπουν :Ρ

    • Haha 1

    Share this comment


    Link to comment
    Share on other sites


    Join the conversation

    You can post now and register later. If you have an account, sign in now to post with your account.

    Guest
    Add a comment...

    ×   Pasted as rich text.   Paste as plain text instead

      Only 75 emoji are allowed.

    ×   Your link has been automatically embedded.   Display as a link instead

    ×   Your previous content has been restored.   Clear editor

    ×   You cannot paste images directly. Upload or insert images from URL.


×
×
  • Create New...

Important Information

By using this site, you agree to our Terms of Use.