Big Brother
Πώς οι «έξυπνες» κάμερες μετατρέπονται σε εργαλείο παρακολούθησης

Οι ερευνητές της Kaspersky Lab έχουν ανακαλύψει πολλές ευπάθειες ασφάλειας στις δημοφιλείς «έξυπνες» κάμερες που χρησιμοποιούνται συχνά ως baby monitors ή για εσωτερική επίβλεψη ασφάλειας.

Σύμφωνα με την έρευνα, τα ελαττώματα που ήρθαν στο φως θα μπορούσαν να επιτρέψουν στους επιτιθέμενους να αποκτήσουν απομακρυσμένη πρόσβαση σε ηχητικά και video feeds από τις κάμερες, να απενεργοποιήσουν από απόσταση τις συσκευές αυτές, και να εκτελέσουν arbitrary κακόβουλο κώδικα μεταξύ πολλών άλλων πραγμάτων.

Οι σύγχρονες «έξυπνες» κάμερες περιέχουν έναν προηγμένο αριθμό λειτουργιών που παρέχουν στους χρήστες διάφορες ευκαιρίες: οι άνθρωποι μπορούν να τις χρησιμοποιήσουν ως προηγμένα baby monitor ή ως συστήματα παρακολούθησης που εντοπίζουν εισβολείς, όταν δεν είναι κανείς στο σπίτι ή στο γραφείο. Αλλά, είναι αυτές οι κάμερες ασφαλείς αρκετά από το σχεδιασμό τους και τί θα συμβεί αν μια τέτοια «έξυπνη» κάμερα αρχίσει να παρακολουθεί εσένα, αντί να παρακολουθεί το σπίτι σου;

Προηγούμενη ανάλυση που πραγματοποιήθηκε από πολλούς άλλους ερευνητές στον τομέα της ασφάλειας έδειξε ότι οι «έξυπνες» κάμερες γενικά τείνουν να περιέχουν ευπάθειες ασφάλειας σε διαφορετικά επίπεδα σοβαρότητας.

Ωστόσο, στις τελευταίες έρευνές τους, οι ειδικοί της Kaspersky Lab αποκάλυψαν κάτι εξαιρετικό: όχι μόνο μία, αλλά μια ευρεία γκάμα «έξυπνων» καμερών βρέθηκαν ευάλωτες σε μια σειρά σοβαρών απομακρυσμένων επιθέσεων. Αυτό οφείλεται σε ένα επισφαλές σχεδιασμένο cloud-backbone σύστημα το οποίο δημιουργήθηκε αρχικά για να επιτρέψει στους κατόχους των συσκευών αυτών να έχουν πρόσβαση από απόσταση στις συσκευές τους.

Με την εκμετάλλευση αυτών των ευπαθειών, κακόβουλοι χρήστες θα μπορούσαν να εκτελέσουν τις ακόλουθες επιθέσεις:

  • Πρόσβαση σε βίντεο και ηχητικά feeds από οποιαδήποτε κάμερα που είναι συνδεδεμένη με την ευπαθή υπηρεσία cloud.
  • Απομακρυσμένη απόκτηση root access σε μια κάμερα και χρήση της ως σημείο εισόδου για περαιτέρω επιθέσεις σε άλλες συσκευές σε τοπικά και εξωτερικά δίκτυα.
  • Απομακρυσμένη μεταφόρτωση και εκτέλεση arbitrary κακόβουλου κώδικα στις κάμερες.
  • Κλοπή προσωπικών πληροφοριών, όπως λογαριασμοί χρηστών σε μέσα κοινωνικής δικτύωσης και πληροφορίες που χρησιμοποιούνται για την αποστολή ειδοποιήσεων σε χρήστες.
  • Απομακρυσμένο κλείδωμα των ευπαθών καμερών.


Μετά την ανακάλυψη, οι ερευνητές της Kaspersky Lab επικοινώνησαν και ανέφεραν τις ευπάθειες στην Hanwha Techwin, την κατασκευάστρια εταιρεία των επηρεαζόμενων καμερών. Τη στιγμή της δημοσίευσης, ορισμένα τρωτά σημεία είχαν ήδη διορθωθεί και τα υπόλοιπα θα επιδιορθωθούν σύντομα, σύμφωνα με τον κατασκευαστή.

Όλες αυτές οι επιθέσεις ήταν εφικτές επειδή οι ειδικοί διαπίστωσαν ότι ο τρόπος με τον οποίο οι κάμερες αλληλεπιδρούν με την cloud υπηρεσία ήταν επισφαλής και ανοικτός σε σχετικά εύκολη παρέμβαση. Διαπίστωσαν επίσης ότι η αρχιτεκτονική της cloud υπηρεσίας ήταν ευάλωτη σε εξωτερικές παρεμβολές.

Είναι σημαντικό να σημειωθεί ότι τέτοιες επιθέσεις ήταν δυνατές μόνο αν οι εισβολείς ήξεραν τον αύξοντα αριθμό της κάμερας. Ωστόσο, ο τρόπος με τον οποίο παράγονται οι σειριακοί αριθμοί είναι σχετικά εύκολος να ανακαλυφθεί μέσω απλών brute-force επιθέσεων: το σύστημα εγγραφής της κάμερας δεν είχε brute-force προστασία.

Κατά τη διάρκεια της έρευνας, οι ειδικοί της Kaspersky Lab κατάφεραν να εντοπίσουν περίπου 2.000 ευάλωτες κάμερες να εργάζονται στο Διαδίκτυο, αλλά αυτές ήταν μόνο οι κάμερες που είχαν τη δική τους διεύθυνση IP, επομένως ήταν άμεσα διαθέσιμες μέσω του Διαδικτύου. Ο πραγματικός αριθμός ευάλωτων συσκευών πίσω από routers και firewalls μπορεί να είναι αρκετές φορές μεγαλύτερος.

Επιπλέον, οι ερευνητές βρήκαν μια μη τεκμηριωμένη λειτουργικότητα, η οποία θα μπορούσε να χρησιμοποιηθεί από τον κατασκευαστή για σκοπούς αξιολόγησης πριν την τελική παραγωγή. Ωστόσο, ταυτόχρονα, οι εγκληματίες θα μπορούσαν να χρησιμοποιήσουν αυτήν την κρυφή οδό για να στείλουν λάθος μηνύματα σε οποιαδήποτε κάμερα ή να αλλάξουν μια εντολή που τους είχε σταλεί ήδη. Εκτός αυτού, το ίδιο το χαρακτηριστικό βρέθηκε ότι είναι ευάλωτο. Θα μπορούσε να γίνει περαιτέρω εκμετάλλευση του με υπερχείλιση προσωρινής μνήμης (buffer overflow), οδηγώντας ενδεχομένως στο κλείσιμο της κάμερας. Ο προμηθευτής έχει επιδιορθώσει το πρόβλημα και έχει καταργήσει αυτή τη λειτουργία.

Προκειμένου να παραμείνουν προστατευμένοι, η Kaspersky Lab συμβουλεύει τους χρήστες τα εξής:

  •  Aλλάζετε πάντα τον προεπιλεγμένο κωδικό πρόσβασης. Χρησιμοποιήστε έναν πολύπλοκο και μην ξεχνάτε να τον ανανεώνετε τακτικά.
  • Δώστε ιδιαίτερη προσοχή στα ζητήματα ασφάλειας των συνδεδεμένων συσκευών πριν αγοράσετε άλλη μία «έξυπνη» συσκευή για το σπίτι ή το γραφείο.


Οι πληροφορίες σχετικά με τις ευπάθειες που ανακαλύφθηκαν και έχουν επιδιορθωθεί είναι συνήθως διαθέσιμες στο διαδίκτυο και είναι συχνά εύκολο να εντοπιστούν.

Πηγή: pestaola

Send to Facebook

Υπερπανσέληνος

Εντυπωσιακή ήταν η έκλειψη της υπερπανσέληνου που σημειώθηκε την Τετάρτη. Στην Κύπρο, όμως, όταν το φεγγάρι είχε ανατείλει στα ανατολικά-βορειοανατολικά, το φαινόμενο της έκλειψης ήταν ήδη στο τέλος του και η σελήνη είχε εξέλθει ήδη από την παρασκιά της Γης. Ωστόσο, ακόμη και στην Κύπρο το φεγγάρι πρόσφερε ένα όμορφο θέαμα,...

31/01/2018 19:28

Google Chat

Οι προσπάθειες της Google να προσφέρει στους χρήστες μια ολοκληρωμένη εμπειρία messaging δεν σταματούν ποτέ. Η εταιρεία έχει παρουσιάσει όλα αυτά τα χρόνια ουκ ολίγες εφαρμογές-υπηρεσίες όπως τα Google Talk, Hangouts, Android Messages και Allo, αλλά τώρα φιλοδοξεί να τα καταργήσει όλα με τη νέα υπηρεσία που θα ονομάζεται Chat. Η αποκάλυψη έγινε από την...

21/04/2018 07:02

Forbes

Λίγες μόλις ημέρες μετά τη δημοσιοποίηση του σκανδάλου «Cambridge Analytica», αναφορικά με τη χρήση των προσωπικών μας δεδομένων, μια νέα αποκάλυψη για τη χρήση των social media έρχεται να… ταράξει τα νερά της αλληλεπίδρασης μέσω διαδικτύου. Συγκεκριμένα, όπως αποκαλύπτει το «Forbes» στην διαδικτυακή του έκδοση, πρώην Ισραηλινοί πράκτορες...

20/04/2018 06:55

Smartphones

Η Apple φέρεται να σχεδιάζει το λανσάρισμα μίας νέας συνδρομητικής υπηρεσίας ειδήσεων που θα ενσωματώνει λειτουργίες της προσφάτως αποκτηθείσας εφαρμογής Texture. Η Apple είχε ανακοινώσει την εξαγορά της Texture στις 12 Μαρτίου 2018, χωρίς ωστόσο να γνωστοποιείται το κόστος της εξαγοράς. Σύμφωνα με δημοσίευμα του Bloomberg, η Apple πρόκειται...

19/04/2018 08:03

Διαδίκτυο εν πτήση

Η δορυφορική τεχνολογία για την παροχή υπηρεσιών Wi-Fi σε αεροπλάνα έχει ωριμάσει σε σημείο όπου όλο και περισσότερες αερογραμμές επιδιώκουν τη χρήση της, πυροδοτώντας μια «κούρσα» μεταξύ των παρόχων τέτοιων υπηρεσιών, όπως αναφέρει το Reuters. Μεταξύ των εταιρειών που δραστηριοποιούνται στον χώρο είναι οι Viasat, Inmarsat, Gogo, Global Eagle,...

18/04/2018 06:57

NASA

Ένας διαστημικός βράχος μεγάλος όσο ένα ποδοσφαιρικό γήπεδο πέρασε πολύ κοντά από τη Γη τη Δευτέρα και κανείς δεν το αντιλήφθηκε παρά μόνο μερικές ώρες πριν, πράγμα μάλλον ανησυχητικό. Ο αστεροειδής "2018 GE3", που είχε μέγεθος λίγο μεγαλύτερο από εκείνον, ο οποίος είχε εκραγεί πάνω από την Τουνγκούσκα της Σιβηρίας το 1908, ισοπεδώνοντας...

17/04/2018 13:38

Αύξηση ασφάλειας στην Ευρώπη

Η Κομισιόν σχεδιάζει για όλες τις χώρες-μέλη νέες ταυτότητες με ψηφιακό δακτυλικό αποτύπωμα και επιπλέον βιομετρικά στοιχεία. Παρουσιάζονται σήμερα στις Βρυξέλλες νέες προτάσεις για περισσότερη ασφάλεια στην Ευρώπη. Περισσότερη ασφάλεια σε καιρό μόνιμης τρομοκρατικής απειλής, είναι ένας από τους πρωταρχικούς στόχους...

17/04/2018 07:05

Κυβερνοκατασκοπεία

Οι Ηνωμένες Πολιτείες και η Βρετανία διατείνονται ότι χάκερ, υποστηριζόμενοι από τη ρωσική κυβέρνηση, έχουν μολύνει ρούτερ ηλεκτρονικών υπολογιστών σε όλον τον κόσμο, σε μια εκστρατεία κυβερνοκατασκοπείας που στοχεύει κυβερνητικές υπηρεσίες, επιχειρήσεις και υποδομές κρίσιμης σημασίας. Αμερικανοί και Βρετανοί αξιωματούχοι...

16/04/2018 21:48

Προσωπικά Δεδομένα

Στον απόηχο του σκανδάλου Cambridge Analytica και την υποκλοπή προσωπικών δεδομένων από 87 εκατομμύρια χρηστών παγκοσμίως, το δημοφιλέστερο κοινωνικό δίκτυο αντιμετωπίζεται με καχυποψία από τους χρήστες, ενώ πολλοί είναι αυτοί που συμμετείχαν στο κίνημα #DeleteFacebook. Μπορεί ο ιδρυτής του Facebook, Μαρκ Ζάκερμπεργκ, -που έπεσε και αυτός θύμα...

16/04/2018 06:50

Visa Ready

Η Visa επεκτείνει το διεθνές δίκτυο συνεργατών της με 14 νέες εταιρείες τεχνολογίας από 10 χώρες, στο πλαίσιο του προγράμματός της Visa Ready, με στόχο να συμβάλει στην ανάπτυξη των ανέπαφων πληρωμών στα μέσα μαζικής μεταφοράς. Στο πρόγραμμα συμμετέχουν εταιρείες που παρέχουν λύσεις τεχνολογίας για απρόσκοπτες...

15/04/2018 07:01

Smartphones

H ESET προτρέπει τους χρήστες Android να είναι ιδιαίτερα προσεκτικοί με ένα νέο scam που ανακαλύφθηκε στο Google Play. Πρόκειται για μία εφαρμογή παιχνιδιού, το «Pingu Cleans Up», που στοχεύει κυρίως σε χρήστες που έχουν αποθηκεύσει πληροφορίες πιστωτικών καρτών στο λογαριασμό τους στο Google Play. Η scam εφαρμογή ξεγελά τους χρήστες μέσα από τρία στάδια...

14/04/2018 06:56

Κυβερνοεπιθέσεις

Πάνω από το ένα τέταρτο των επιχειρήσεων που έχουν πέσει θύμα επιθέσεων DDoS δεν θεωρούν ότι ήταν ο επιδιωκόμενος στόχος, υπογραμμίζοντας ότι οι επιχειρήσεις δεν μπορούν να αντέξουν οικονομικά τον εφησυχασμό όταν πρόκειται για το σημερινό τοπίο απειλών. Σύμφωνα με την έρευνα* της Kaspersky Lab, το 27% των ερωτηθέντων δήλωσε ότι ήταν...

12/04/2018 07:03

Back to Top