Комп'ютерна технікаПЗ

Камеры видеонаблюдения Motorola оказались не средством защиты, а дырой в безопасности

5

Исследователи компании Context Information Security решили поискать уязвимости в камерах наружного наблюдения Motorola Focus 73. В итоге эксперты не только обнаружили большие проблемы с безопасностью, но и сумели скомпрометировать работу сервиса Hubble, с которым взаимодействуют устройства.
focus73
Отчет, опубликованный специалистами Context Information Security, в очередной раз доказывает, что пока безопасность IoT-устройств хромает на обе ноги. Исследователи смогли не только полностью перехватить контроль над IP камерами наблюдения, получив возможность поворачивать их в нужном направлении, но сумели перенаправить видеопоток и оповещения о движении в кадре на другой сервер.

IP камеры Motorola производит компания Binatone. Она же предлагает покупателям устройств услуги сервиса Hubble, работающего в облаке Amazon. Пользователи камер могут не только удаленно управлять своими девайсами, но и получать уведомления о зафиксированном камерой движении, при помощи бесплатного мобильного приложения.

Исследователи обнаружили, что камеры передают секретный защитный ключ Wi-Fi через открытую сеть, посредством HTTP, в виде обычного текста и вообще не применяя шифрование. При этом используются логин «camera» и пароль «000000».

При более детальном изучении проблемы удалось получить и root-доступ к камере: оказалось, что этот пароль немногим лучше шести нулей: «123456». После этого исследователи обнаружили, что камера также хранит пароль от домашней Wi-Fi сети в виде обычного текста, равно как и заводские учетные данные для проведения тестов. Еще более удивительным оказался тот факт, что устройства зачем-то содержат данные о Gmail, Dropbox и FTP аккаунтах разработчиков.

В логах девайсов, которые были доступны посредством открытого веб-интерфейса, удалось также найти AES ключ шифрования для передачи удаленных контрольных сообщений и учетные данные FTP сервера, который использовался для хранения видеозаписей.

Читайте також -  Суперкомп'ютери відкривають нові можливості для вивчення видимої матерії

В результате всех этих проблем с безопасностью исследователи сумели установить на устройство собственную вредоносную прошивку.

Более того, оказалось, что камеры используют для общения с сервером Hubble протокол STUN (Session Traversal Utilities for NAT). Вооружившись найденным ранее AES ключом, эксперты Context Information Security добрались и до зашифрованных команд, которыми камера обменивается с облаком. Им удалось воссоздать инструкции сервера, то есть удалось заставить устройство повернуться влево или вправо, начать или оставить запись, сменить сервер записи, перезагрузиться и так далее.

Когда камера уже была скомпрометирована всецело, эксперты переключили внимание на сам Hubble. Им удалось изменить DNS-конфигурацию сервиса таким образом, чтобы он передавал оповещения о замеченном движении, видеоклипы и изображения JPEG на собственный сервер экспертов, а не пользователям устройств.

В отчете Context Information Security сообщается, что все эти чудовищные дыры были найдены еще в октябре 2015 года. С того времени была проделана большая совместная работа с компаниями Motorola, Binatone, Nuvoton и разработчиками софта CVision. В результате, 2 февраля 2016 года, через сервис Hubble была распространена новая прошивка для камер Motorola Focus, исправляющая все обнаруженные уязвимости. Так как процесс обновления у данных устройств автоматический, значит, все они гарантировано получили апдейт.
Взято с Xakep.ru

5 Comments

  1. … [Trackback]

    […] Find More Info here to that Topic: portaltele.com.ua/news/software/kamery-videonablyudeniya-motorola-okazalis-n.html […]

  2. … [Trackback]

    […] Find More here to that Topic: portaltele.com.ua/news/software/kamery-videonablyudeniya-motorola-okazalis-n.html […]

  3. … [Trackback]

    […] Information on that Topic: portaltele.com.ua/news/software/kamery-videonablyudeniya-motorola-okazalis-n.html […]

  4. … [Trackback]

    […] Find More here on that Topic: portaltele.com.ua/news/software/kamery-videonablyudeniya-motorola-okazalis-n.html […]

  5. … [Trackback]

    […] Read More Information here on that Topic: portaltele.com.ua/news/software/kamery-videonablyudeniya-motorola-okazalis-n.html […]

Leave a reply

error: Вміст захищено!!!