Ez a biztonsági hiba végigsöpört a kamerákon

Több mint 70 különféle márkájú megfigyelő kamerarendszer sebezhető ugyanazon biztonsági rés miatt. Az átcímkézés nem tett jót a biztonságnak.
 

Az ipari, biztonsági és a különféle megfigyelő kamerák sebezhetőségét egyre több biztonsági kutató vizsgálja. Tavaly az Ethical Hacking konferencián is látható volt egy érdekes bemutató a témában. Akkor Tamási Benjamin előadásában egy IP-kamera kapta a főszerepet, amit a közönség szeme láttára sikerült térdre kényszeríteni. Az előadó először érzékeltette, hogy ha egy ilyen eszközt az alapértelmezett felhasználói beállításokkal helyezünk üzembe, akkor az komoly problémákat okozhat. (A szóban forgó kameránál gyárilag jelszó sem volt az admin felhasználóhoz, így a webes felületre könnyedén be lehetett lépni.) Aztán következett a mélyebb szintű hackelés, aminek eredményeként a kamera által közvetített videó streamen egy Batman film jelent meg, majd az előadó saját notebookjának webkamerájával készített felvételeket lehetett látni.
 
Nemrégen a biztonsági kamerarendszereket Rotem Kerner biztonsági kutató is elkezdte szemügyre venni, és hamar talált is egy súlyos sebezhetőséget, amihez elkészítette a megfelelő exploit kódot. A hiba a HTTP kezelés, illetve a HTTP szerver kapcsán merült fe, és jogosulatlan távoli kódfuttatásra ad lehetőséget. A kihasználásával tulajdonképpen teljes mértékben átvehetővé válhat az irányítás az érintett rendszerek felett.
 
Egy termék, sok márka

Kerner a sérülékenyéget egy kínai kamera esetében tárta fel. Rögtön gyanakodni kezdett, hogy ha egy eszközben egy ilyen biztonsági rés van, akkor könnyen előfordulhat, hogy a hiba más készülékekben is megtalálható. A sejtése hamar beigazolódott, ugyanis kiderült, hogy több mint hetven különféle márkájú kamerarendszer kiszolgáltatott a támadásoknak a feltárt rendellenesség miatt. Ezek alapvetően ugyanazt a hardvert használják, csak éppen a cégek átcímkézték azokat, miközben a sebezhetőség öröklődött. Ebből pedig jól látszik, hogy egy biztonsági hiányosság napjaink piaci modelljeinek esetében miként tud igencsak szerteágazó problémákat előidézni.