Vulnerabilităţi critice descoperite într-o cameră de supraveghere populară

Cameră de supraveghere. FOTO Shutterstock

Un nou dispozitiv smart vulnerabil identificat de către cercetătorii de la Bitdefender arată încă o dată cât de puţină atenţie acordă producătorii acestora securităţii informatice.

Specialiştii în securitate informatică de la Bitdefender au identificat vulnerabilităţi în camera de supraveghere pentru acasă Wyze Cam, disponibilă şi în România. Exploatând aceste carenţe de securitate, atacatorii pot accesa filmările camerei sau pot rula cod periculos pentru a obţine acces deplin la dispozitiv.

Cercetarea confirmă că atacatorii pot avea drepturi similare asupra camerei cu cele ale proprietarului de drept, însemnând accesarea feed-ului video sau a înregistrărilor.

Principalele descoperiri:

• Instrucţiunile pe care le primeşte dispozitivul pot depăşi memoria acestuia, ca urmare a unei omisiuni a producătorului. Atacatorii pot profita de asta şi pot adăuga propriul lor cod, ceea ce permite accesul la feed-ul camerei şi/sau injectarea de cod periculos.
• Atacatorii pot interveni în comunicarea dintre cameră şi serverul la care este conectată, ceea ce le permite să ocolească procesul de conectare şi autentificare.
• Atacatorii pot obţine fără autentificare acces la conţinutul cardului SD ataşat camerei video.

Recomandări pentru utilizatori:

Specialiştii Bitdefender îndeamnă utilizatorii să instaleze de îndată actualizările de securitate disponibile. Posesorii camerei din prima generaţie, care a fost scoasă din producţie, sunt sfătuiţi să înceteze imediat folosirea acesteia, deoarece nu este posibilă o remediere a problemelor semnalate.

• Înainte de a cumpăra dispozitivul, citiţi recenzii ale produsului şi aflaţi opiniile altor utilizatori legate de modul în care funcţionează. Verificaţi frecvenţa cu care producătorul trimite actualizări şi reputaţia acestuia legată de securitate informatică.
• Actualizaţi dispozitivele inteligente cu cea mai recentă versiune a sistemului de operare.
• Asiguraţi-vă că toate dispozitivele au parole complexe sau că au fost schimbate cele iniţiale.

Politica de comunicare a vulnerabilităţilor

Bitdefender a anunţat producătorul dispozitivului menţionat anterior despre rezultatele cercetării. Vulnerabilităţile identificate de către specialiştii în securitate cibernetică au fost comunicate în concordanţă cu politica Bitdefender de notificare şi dezvăluire a vulnerabilităţilor. Potrivit acesteia, furnizorii sunt înştiinţaţi în scris despre descoperiri şi sunt încurajaţi să remedieze erorile şi defecţiunile din produsele semnalate. La 90 de zile după comunicarea iniţială, rezultatele cercetării sunt transmise publicului larg. În acest caz, publicarea vulnerabilităţilor înainte de remedierea acestora ar fi oferit atacatorilor instrumente pentru compromiterea dispozitivelor.