Kamery bezpieczeństwa nie są bezpieczne

Głęboka analiza jednej z popularnych kamer WiFi podpiętych do internetu wykazała wiele problemów z bezpieczeństwem.

Alex Farrant i Neil Biggs z firmy Context Information Security poddali dokładnej analizie pod względem bezpieczeństwa zewnętrzną kamerę WiFi Motorola Focus 73, która współpracuje z serwisem Hubble. Jej użytkownik korzystając z mobilnej darmowej aplikacji ma możliwość oglądania rejestrowanego przez kamerę obrazu oraz jej kontrolowania.

Co się okazało?

Niestety, jeżeli chodzi o bezpieczeństwo, wygląda to źle. Badacze udowodnili bowiem, że są w stanie przejąć całkowitą kontrolę nad kamerą, przekierować strumień wideo na własny serwer oraz poznać hasło sieci WiFi, do której urządzenie zostało podłączone. Alex Farrant i Neil Biggs zwracają uwagę m.in. na następujące elementy:

Zobacz również:

1. Podczas konfiguracji aplikacja oferuje opcję pozwalającą na powiązanie kamery przy wykorzystaniu trybu hosta z niezabezpieczoną siecią bezprzewodową. Sieć ta skłania użytkownika do połączenia za pomocą prywatnego klucza zabezpieczeń WiFi, który następnie emitowany jest w postaci niezaszyfrowanej. Wykorzystuje on jedynie podstawowe uwierzytelnienie HTTP z nazwą użytkownika "camera" i hasłem "000000"

2. Uzyskanie uprawniań administratora nie jest trudne (hasło dla administratora, czyli Root password: "123456") i pozwala na dostęp do hasła domowej sieci WiFi, które zapisano zwykłym tekstem

Patch został już udostępniony, ale ogólnie problem jest poważny

Motorola poinformowana została o problemie w październiku 2015 roku. Na szczęście już miesiąc później zaczęła udostępniać dla swoich kamer odpowiednią aktualizację firmware. Typu typu przypadki pokazują jednak, jak źle wygląda sfera bezpieczeństwa w urządzeniach wchodzących w skład tzw. Internetu Rzeczy. Bardzo wyraźnie widać to właśnie na przykładzie kamer IP. Niedawno powstała bowiem nowa sekcja w wyszukiwarce internetowej Shodan, która pozwala na znalezienie podpiętych do internetu niezabezpieczonych egzemplarzy.

Więcej informacji: contextis.com