Специалисты по кибербезопасности: десятки тысяч умных камер можно взломать без особых усилий

в 13:40, , рубрики: IoT, Блог компании Madrobots, ботнеты, взлом, гаджеты, Интернет вещей, информационная безопасность, кибербезопасность

Специалисты по кибербезопасности: десятки тысяч умных камер можно взломать без особых усилий - 1

О том, что IoT-устройств становится все больше, знаем мы все (ну, или почти все). Если говорить об умных камерах, то они достаточно удобны. Продвинутые модели, вроде iVideon Oco 2 помогают и за домом следить в свое отсутствие, и с подопечными общаться — в некоторых камерах есть и динамик, и микрофон. Преимущества камер осознает все большее количество пользователей, но вот беда — производители беспокоятся о безопасности своих устройств не самым лучшим образом.

На рынке присутствуют сотни или даже тысячи моделей умных камер. Некоторые из них попадают под прицел «безопасников», которые тестируют девайсы и в хвост и в гриву, стараясь найти уязвимые места в их защите. На днях в Сети появилась информация о результатах анализа уязвимостей двух моделей камер, которые производит компания Shenzhen Neo Electronic. Эта организация поставила несколько сотен тысяч умных систем пользователям со всего мира, и в результате около 150 000 из установленных камер могут быть взломаны.

Цель взлома может быть разная — кому-то просто хочется видеопоток перехватить, а кто-то планирует создать ботнет из сотен тысяч устройств (тут нельзя не вспомнить тех, кто стоял за ботнетом Mirai). Алекс Балан, исследователь из компании Bitdefender говорит, что после того, как уязвимости были обнаружены, о них сообщили разработчикам. Но те хранят молчание, а проблемные места в программном обеспечении остаются непропатченными.

Правда, проблема еще и в том, что уже в изготовленных камерах исправить ничего нельзя. О этом Балан заявил в интервью одному из популярных интернет-СМИ на конференции Def Con, которая проходила в Лас-Вегаме.

Исследователь озвучил проблемные камеры. Это NIP-22 и iDoorbell. Но то, что в подробностях изучены только две модели, ничуть не отменяет того факта, что схожие проблемы содержат и приложения многих других умных камер. Да и не только камер — за последние несколько лет специалисты находили уязвимости, кроме камер, в гаджетах для животных, посудомойках и даже в секс-игрушках. Эти системы взламываются не все скопом, а индивидуально, но это вовсе не значит, что злоумышленники не могут сформировать из них ботнет с количеством «зомби» превышающем несколько сотен тысяч.

Уязвимости, кстати, вполне обычные — взломщикам не нужно проявлять какие-то суперумения. Одна из уязвимостей, которые актуальны в отношении указанных двух камер — это банальные логин и пароль по дефолту, выставляемые на заводе. Их мало кто меняет, но зато любой более-менее подкованный пользователь ПК может эту связку без проблем узнать. Интересно, что несмотря на прошедшую эпидемию (да и не одну) взломов IoT устройств, Shodan до сих пор показывает более сотни тысяч уязвимых камер. Любой, кто воспользуется логином user и таким же паролем, или же связкой guest/guest, сможет получить доступ к этим камерам.

Что касается второй проблемы, то здесь все несколько сложнее. В этом случае используется переполнение буфера, которое позволяет взломщикам брать контроль над устройством на себя, превращая его в зомби часть ботнета. И сотня тысяч таких устройств не предел — на самом деле, их гораздо больше, просто Shodan тоже не панацея, поисковик не обнаруживает все уязвимые камеры.

Специалисты по кибербезопасности: десятки тысяч умных камер можно взломать без особых усилий - 2
Ботнеты иногда заражают огромное количество устройств

Что касается Shenzhen Neo, то представители этой компании никак не прокомментировали представленные специалистами по кибербезопасности данные.

Здесь еще нужно сказать, что далеко не только камеры уязвимы. Выше уже говорилось, что умных устройств сейчас очень много. Но как-то некоторые производители больше беспокоятся о дизайне своих гаджетов, их функциональности, совсем забывая о безопасности. А это может быть непростительно в наше время. Среди тех камер, что мы изучали, с точки зрения безопасности вполне хороша Netatmo Welcome. Немало есть и других камер, которые выпускаются хоть китайскими, хоть иными производителями и притом имеют неплохую систему защиты.

Думаем, что среди читателей Geektimes немало тех, кто устанавливал камеры дома либо на работе. Какие из них вы считаете безопасными? Думаю, для многих эта информация актуальна.


Специалисты по кибербезопасности: десятки тысяч умных камер можно взломать без особых усилий - 3
Специалисты по кибербезопасности: десятки тысяч умных камер можно взломать без особых усилий - 4

Автор: Madrobots

Источник

* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js