Jump to content
  • Latest Reviews

    All Reviews
  • Ειδήσεις

    Έρευνα της ESET εντοπίζει ευπάθεια σε κάμερα που επιτρέπει την κατασκοπεία του ιδιοκτήτη της

    Σύμφωνα με την τελευταία έρευνα της ESET για το IoT, η cloud κάμερα D-Link DCS-2132L παρουσιάζει πολλά τρωτά σημεία ασφαλείας, που επιτρέπουν την πρόσβαση σε μη εξουσιοδοτημένα πρόσωπα. Σύμφωνα με ενημέρωση από πλευράς κατασκευαστή, έχουν επιδιορθωθεί κάποιες από τις ευπάθειες, ωστόσο υπάρχουν ακόμη προβλήματα.


    «Το πιο σοβαρό πρόβλημα με την cloud κάμερα D-Link DCS-2132L είναι το μη κρυπτογραφημένο video streaming. Εκτελείται χωρίς κρυπτογράφηση και στις δύο συνδέσεις –  μεταξύ της κάμερας και του cloud και μεταξύ του cloud και της εφαρμογής που χρησιμοποιεί ο χρήστης. Ως αποτέλεσμα, προσφέρεται πρόσφορο έδαφος για επιθέσεις man-in-the-middle (MitM) και επιτρέπεται στους εισβολείς να κατασκοπεύουν τις ροές βίντεο των θυμάτων», εξηγεί ο Milan Fránik, ερευνητής στο ESET Research Lab στη Μπρατισλάβα.

     

    Figure-1-768x429.png


    Ένα άλλο σοβαρό πρόβλημα που εντοπίστηκε στην κάμερα ήταν κρυμμένο στο plug-in της εφαρμογής «myDlink services» για web browser. Πρόκειται για μία από τις εναλλακτικές εφαρμογές παρακολούθησης που έχει στη διάθεσή του ο χρήστης. Διατίθενται και εφαρμογές για mobile, οι οποίες ωστόσο δεν ήταν μέρος της έρευνας της ESET.


    To συγκεκριμένο plug-in διαχειρίζεται τη δημιουργία της σύνδεσης  TCP και την αναπαραγωγή live video στο πρόγραμμα περιήγησης του χρήστη, αλλά είναι επίσης υπεύθυνη για την προώθηση αιτημάτων για streaming δεδομένων τόσο βίντεο όσο και ήχου μέσω μίας σύνδεσης, η οποία «ακούει» μια θύρα που έχει ανοίξει στο localhost.


    «Η ευπάθεια του plug-in θα μπορούσε να επιφέρει σοβαρές συνέπειες στην ασφάλεια της κάμερας, καθώς επέτρεπε στους εισβολείς να αντικαταστήσουν το νόμιμο firmware με ένα δικό τους πλαστό ή με μία έκδοση με back-door» σημειώνει ο Fránik.


    Η ESET έχει αναφέρει όλες τις ευπάθειες που βρέθηκαν στον κατασκευαστή. Από τότε, ορισμένες από τις ευπάθειες - κυρίως στο plug-in myDlink – επιδιορθώθηκαν και ενημερώθηκαν με patch, αλλά εξακολουθούν να υπάρχουν ζητήματα με τη μη κρυπτογραφημένη μετάδοση. 


    Για αναλυτικότερη περιγραφή των τρωτών σημείων και των πιθανών σεναρίων επίθεσης, διαβάστε την έρευνα «D-Link camera vulnerability allows attackers to tap into the video stream» στο site της ESET, WeLiveSecurity.com.
     


    • Like 2


    User Feedback

    Recommended Comments

    There are no comments to display.



    Join the conversation

    You can post now and register later. If you have an account, sign in now to post with your account.

    Guest
    Add a comment...

    ×   Pasted as rich text.   Paste as plain text instead

      Only 75 emoji are allowed.

    ×   Your link has been automatically embedded.   Display as a link instead

    ×   Your previous content has been restored.   Clear editor

    ×   You cannot paste images directly. Upload or insert images from URL.


×
×
  • Create New...

Important Information

By using this site, you agree to our Terms of Use.