Под присмотром или под наблюдением? Эксперты обнаружили серьёзные уязвимости в популярных умных камерах

2018-03-13 9:57
Под присмотром или под наблюдением? Эксперты обнаружили серьёзные уязвимости в популярных умных камерах

Эксперты «Лаборатории Касперского» обнаружили ряд серьёзных уязвимостей в популярных смарт-камерах, которые часто используются в качестве видеоняни, а также для наблюдения за обстановкой дома или в офисе. Найденные бреши могли бы позволить злоумышленникам получить удалённый контроль над камерами и делать с ними всё что угодно: от запуска вредоносного кода до выведения их из строя. Компания сообщила обо всех найденных уязвимостях производителю устройств (Hanwha Techwin): к настоящему моменту часть из них закрыта, оставшиеся будут исправлены в ближайшее время.

Исследованные умные камеры отличаются одной особенностью – все они взаимодействуют с пользователем и его устройствами (компьютером, смартфоном, планшетом) не напрямую, а через облачный сервис. И именно архитектура этого сервиса оказалась уязвимой к разного рода внешним воздействиям. Дело в том, что передача и обработка любых запросов от человека к камере и обратно происходит в облаке по протоколу XMPP. В облаке, организованном на базе этого протокола, есть так называемые «комнаты», в каждой из которых находятся видеокамеры одного типа. В силу незащищённости архитектуры злоумышленники способны зарегистрировать в таком облаке произвольную учётную запись и с её помощью получить доступ ко всем «комнатам».

В итоге, эксплуатируя различные уязвимости, недоброжелатели могут:

  • получить доступ к видео- и аудиоматериалам любой камеры, подключённой к облаку;
  • получить права суперпользователя и задействовать камеру в атаках на другие устройства;
  • удалённо загружать и выполнять любой вредоносный код;
  • красть личные данные пользователей, которые те указывают для получения уведомлений от умных камер на свои аккаунты в социальных сетях и почтовых сервисах;
  • использовать камеру как точку входа для проведения атак на устройства во внутренней сети, которые расположены за межсетевыми экранами;
  • удалённо выводить камеру из строя (причём даже так, что её нельзя будет восстановить).

Одним из потенциальных сценариев атаки, к примеру, может стать подмена изображения для конечного пользователя. Причём злоумышленники могут это сделать даже без особого труда. Для этого им нужно в облаке получить настройки камеры, в которых указаны её модель, серийный номер и МАС-адрес. Далее, используя уязвимость в алгоритме формирования пароля, злоумышленник восстанавливает пароль и модифицирует прошивку камеры-клона (точно такой же камеры, как и у жертвы, но на стороне злоумышленника). После этого атакующий удалённо выключает камеру пользователя и начинает транслировать ему картинку со своей камеры-клона.

Во время своего исследования эксперты «Лаборатории Касперского» обнаружили в облачном сервисе почти 2000 смарт-камер. Однако учитывая, что часть устройств работает через роутеры и файерволы, уязвимых гаджетов может быть в разы больше.

«Когда речь заходит об интернете вещей, пользователи и производители ошибочно думают, что безопасность таких устройств можно обеспечить, отделив их от внешнего мира с помощью роутера. Да, в некоторых случаях этот трюк работает, потому что прежде чем воспользоваться уязвимостью в очередном умном устройстве, злоумышленник должен получить доступ к роутеру. Но только не в случае с этими смарт-камерами, поскольку все их коммуникации с пользователем и глобальной сетью происходят в уязвимом облаке, – объясняет Владимир Дащенко, руководитель группы исследования уязвимостей систем промышленной автоматизации и интернета вещей Kaspersky Lab ICS CERT. – Так что мы рекомендуем пользователям как минимум задуматься о вопросах кибербезопасности нового умного устройства перед его покупкой, а производителей таких гаджетов призываем продумывать их защиту ещё на этапе разработки».

В Hanwha Techwin отметили, что безопасность пользователей является высшим приоритетом для компании. Производитель смарт-камер уже закрыл ряд уязвимостей, в том числе возможность удалённой загрузки и выполнения вредоносного кода. Также компания выпустила обновление прошивки для всех камер и в ближайшее время планирует исправить уязвимости облачного сервиса.

iluki.ru

популярные новости

Тела юноши и девушки обнаружены возле железнодорожного моста в Великих Луках

Названа предварительная причина смерти юноши и девушки, найденных мертвыми возле железнодорожного моста в Великих Луках

Установлена личность девушки, обнаруженной вчера мертвой вместе с юношей возле железнодорожного моста в Великих Луках

Налетай, не скупись! В Великих Луках выставили на продажу самую дорогую квартиру

Стали известны травмы детей, родители которых погибли сегодня в страшном ДТП под Псковом (+ФОТО и ВИДЕО с места происшествия)

ВИДЕО: конфликт с великолукскими сотрудниками ГИБДД

ФОТО впечатляющего ДТП на центральном проспекте Великих Лук

Смерть 41-летнего мужчины, находившегося на лечении в великолукской больнице, просит проверить его вдова

ВИДЕО с места происшествия: семья с тремя детьми попала в двойное смертельное ДТП под Псковом

Обстоятельства впечатляющего тройного ДТП в Великих Луках – официальная версия (+ ФОТО)

Подпишись на канал