Наука

В «Лаборатории Касперского» поведали об уязвимости смарт-камер

В «Лаборатории Касперского» поведали об уязвимости смарт-камер

«Уязвимости могли позволить хакерам получить удалённый контроль над устройствами». Об этом поведал глава группы исследования уязвимостей систем индустриальной автоматизации и «интернета вещей» Kaspersky Lab ICS CERT Владимир Дащенко на конференции Security Analyst Summit (SAS 2018), которая проходит в Мексике.

Hanwha Techwin принадлежит компании Самсунг и уже в течение продолжительного времени занимает лидерующие позиции на рынке. Отметим, что эти устройства в первую очередь используют в качестве видеоняни либо для наблюдения в офисе и дома. При этом с пользователем и другими устройствами, включая мобильные телефоны, ПК и планшеты, эти камеры не взаимодействуют напрямую. Данная особенность и стала первопричиной появления уязвимостей. Дело в том, что передача и обработка любых запросов от человека к камере и обратно происходит в облаке по акту XMPP. В силу незащищенности архитектуры злоумышленники в состоянии зарегистрировать в таком облаке произвольную учетную запись и с ее помощью получить доступ ко всем «комнатам», — добавил специалист. И именно архитектура данного сервиса оказалась уязвимой к многообразного рода внешним влияниям. Но уязвимых девайсов может быть в разы больше, так как часть устройств работает через роутеры и файрволы. Они назвали основные проблемы, которые связаны с хакерскими атаками: загрузка вредных кодов, кража личных данных, подмена изображения, вывод камеры из строя.

Обидчик получает доступ к используемому «облаку» и предусмотренные пользовательские права.

Одним из потенциальных сценариев атаки, к примеру, вполне может стать подмена изображения для окончательного пользователя.

«Лаборатория Касперского» сообщила об обнаружении целого ряда уязвимостей в этих приборах.
Во время исследования специалистами из «Лаборатории Касперского» было найдено не менее 2000 смарт-камер работающих через «облако».

«Когда речь заходит об интернете вещей, юзеры и производители ошибочно думают, что безопасность таковых устройств можно обеспечить, отделив их от окружающего мира при помощи роутера».

Злоумышленник, имеющий доступ к облачному хранилищу, сумеет управлять и ее камерой, получая данные с записывающего устройства. В случае нахождения уязвимостей, допускающих остальные варианты удалённого выполнения кода, ученые могут рассчитывать на вознаграждение в объеме от 5 до 20 тыс. долларов (в зависимости от трудности найденной бреши). «Однако только не в случае с этими смарт-камерами, так как все их коммуникации с пользователем и повсеместной сетью происходят в уязвимом облаке», — резюмировал специалист.