Masz elektroniczną nianię? Uważaj na hakerów

Elektronicznie nianie na stałe zagościły w dziecinnych pokojach. Większość kamer dostępnych na rynku oferuje wiele funkcji, takich jak chociażby obserwacja dziecka przez całą dobę, nagrywanie w czasie rzeczywistym lub po detekcji ruchu, monitorowanie temperatury w pomieszczeniu czy uspokajanie malucha własnym głosem bądź przy pomocy kołysanek. Elektroniczne nianie, podobnie jak czujniki wideo oraz audio instalowane w czterech kątach sprawiają, że gospodarstwa domowe są coraz lepiej skomunikowane ze światem. Niestety, taki stan rzeczy zagraża prywatności domowników.

Bitdefender zwraca uwagę na luki bezpieczeństwa w kamerze Victure IPC360, które umożliwiają napastnikowi dostęp do obrazu z kamer lub wyłączenia szyfrowania strumieni danych przechowywanych w chmurze publicznej. Ponadto haker może włączyć protokoły RTSP (Real Time Streaming Protocol), ONVIF (Open Network Video Interface Forum) lub wykorzystać przepełnienie bufora na stosie, aby całkowicie przejąć kontrolę nad urządzeniem. 

Jedna platforma, kilka luk

Platforma chmurowa Victure IPC360 umożliwia odpytywanie dowolnych kont użytkowników bez uwierzytelniania. Identyfikatory kont zawierają proste liczby z zakresu od 1000000 do 60000000 i są przydzielane przyrostowo, dzięki czemu łatwo je przewidzieć. Zapytanie o identyfikator użytkownika zwraca odpowiedź z platformy ze szczegółami dotyczącymi konta, w tym identyfikatorami powiązanych urządzeń. Dzięki tym informacjom haker może uzyskać dostęp do urządzeń wszystkich użytkowników. Specjaliści z Bitdefendera oszacowali na podstawie identyfikatorów użytkowników uzyskanych w czasie testów, że liczba potencjalnych ofiar wynosi około 4 milionów. Co istotne, platforma chmurowa IPC360, poza Victure PC420, obsługuje kilka innych modeli kamer, takich jak bezprzewodowa kamera zewnętrzna IP Mibao, Akaso P50 i Robicam Waterproof 360.