В популярных смарт-камерах найдены опасные уязвимости
«Лаборатория Касперского» обнаружила ряд серьезных уязвимостей в популярных «умных» камерах: найденные бреши теоретически позволяют злоумышленникам получить удаленный контроль над устройством и выполнить на нем произвольные действия.
Речь идет о камерах, которые применяются для наблюдения за жилищем или офисом, а также для дистанционного присмотра за ребенком или питомцем. Производителем уязвимых камер является компания Hanwha Techwin.
Исследованные камеры, как отмечается, взаимодействуют с пользовательским компьютером, смартфоном или планшетом не напрямую, а через облачный сервис. И именно архитектура последнего оказалась уязвимой к различным внешним воздействиям.
«Дело в том, что передача и обработка любых запросов от человека к камере и обратно происходит в облаке по протоколу XMPP. В облаке, организованном на базе этого протокола, есть так называемые комнаты, в каждой из которых находятся видеокамеры одного типа. В силу незащищенности архитектуры злоумышленники способны зарегистрировать в таком облаке произвольную учетную запись и с ее помощью получить доступ ко всем комнатам», — пишет «Лаборатория Касперского».
«Дыры» позволяют злоумышленникам выполнять широкий набор различных операций. К примеру, они могут получить доступ к видео- и аудиоматериалам любой камеры, подключенной к облаку. На устройстве можно выполнить произвольный вредоносный код, скажем, с целью организации атаки через Сеть. Более того, камеру даже можно полностью вывести из строя — без возможности восстановления.
Одним из потенциальных сценариев атаки, к примеру, может стать подмена изображения для конечного пользователя. Киберпреступники также могут красть личные данные жертв, которые те указывают для получения уведомлений от «умных» камер на свои аккаунты в социальных сетях и почтовых сервисах.
Производитель смарт-камер уже закрыл ряд уязвимостей, а в ближайшее время планирует исправить недоработки облачного сервиса.