Antivírusová spoločnosť ESET informovala, že objavila viacero bezpečnostných chýb v cloudovej kamere D-Link DCS-2132L. Tá sa dala v minulosti kúpiť aj na Slovensku, dnes sme v e-shopoch našli už len novšie modely.
ESET tvrdí, že obraz je cez internet prenášaný v nezašifrovanej podobe. Bez takéhoto dodatočného zabezpečenia smeruje z domácej kamery na servery D-Linku, aj medzi cloudom a mobilnou aplikáciou v smartfóne.
Potenciálni útočníci tak môžu vykonať tzv. Man-in-the-Middle útok a získať prístup k tomu, čo kamera vidí a zachytáva cez zabudovaný mikrofón.
Ďalšia chyba bola nájdená v rozšírení Mydlink services, ktoré si majitelia musia nainštalovať napríklad do prehliadača Chrome, ak chcú obraz u seba doma sledovať na počítači, a nie cez mobilnú aplikáciu. Cez ňu je vraj možné zameniť firmvér kamery za upravenú a falošnú verziu.
Eset o chybách vedel už v auguste 2018, kedy o nich D-Link informoval. Ten podľa antivírusovej spoločnosti plugin Mydlink services zabezpečil, iné ale ponechal bez záplaty. Potvrdzuje to fakt, že najnovší firmvér k DCS-2132L je stále z novembra 2016.
Slovenská spoločnosť odporúča zvážiť používanie vzdialeného prístupu ku kamere, ak smeruje na citlivé miesta v domácnosti. Majitelia sa môžu chrániť zablokovaním portu 80 na svojom domácom Wi-Fi routeri, ku ktorému sa kamera od D-Linku pripája.
Podľa špecializovaného webu Shodan.io je aktuálne v prevádzke približne 1600 týchto kamier s otvoreným portom 80, väčšina z nich v USA, Rusku a Austrálii.
Problém len poukazuje na dôležitosť pravidelných aktualizácií firmvéru a operačných systémov v prakticky akejkoľvek elektronike, od počítačov cez mobily až po podobné tzv. IoT zariadenia.
Vyrobiť 100 % bezpečný produkt je takmer nemožné, o to dôležitejšia je preto podpora výrobcu a jeho schopnosť čo najrýchlejšie reagovať na objavené problémy. Pri starších alebo menej rozšírených zariadeniach býva skoré ukončenie podpory častejšie, než pri drahších alebo mimoriadne populárnych kusoch s miliónmi používateľov.
Zdroj: tlačová správa
Diskusia k článku: