ESET, Güvenlik Kamerasında Güvenlik Açığı Buldu
ESET IoT araştırmasına nazaran bulut kamera D-Link DCS-2132L ’de yetkisiz erişimlere kapıyı açabilen çoklu güvenlik açığı kelam konusu. Kameranın en önemli sorunu ise görüntü akışını şifrelemeden iletmesi.
ESET’in Slovakya Bratislava’daki Araştırma Laboratuvarı’ndan ESET Araştırmacısı Milan Fránik, “Ne kamera ve bulut ortasındaki temas, ne de bulut ve görüntüleme uygulaması ortasındaki ilişki şifrelendiği için sistem, ‘ortadaki adam (MitM – Man in the Middle)’ hücumlarına ve görüntü yayınlarının davetsiz konuklar tarafından izlenmesine açıktır” bilgisini paylaştı.
Eklenti de sorunlu
Tespitlere nazaran kamerada bulunan bir öbür önemli sorun, ‘mydlink services (D-Link hizmetlerim)’ web tarayıcısı eklentisinde kapalı. Web tarayıcısı eklentisi, TCP tünelinin oluşturulmasını ve istemcinin tarayıcısında canlı görüntü oynatmayı yönetir lakin tıpkı vakitte localhost üzerinde dinamik olarak oluşturulmuş bir ilişki noktasını dinleyen bir tünel aracılığıyla görüntü ve ses data akışlarına yönelik isteklerin iletilmesinden de sorumludur.
“Eklenti güvenlik açığı, kameranın güvenliği için fecî sonuçlar doğurabilirdi, zira saldırganların özgün eser yazılımını kendi hileli sürümleriyle değiştirmelerini mümkün kılabilir” diyor Milan Fránik.
Üreticiye bildirildi
ESET, tespit edilen tüm güvenlik açıklarını üreticiye bildirdi. Öncelikli olarak myDlink eklentisindeki güvenlik açıklarından kimileri güncellemeyle hafifletildi ve yamalandı, lakin şifrelenmemiş iletim ile ilgili problemler devam ediyor.
Konuyla ilgili ayrıntılı makaleye buradaki temastan ulaşabilirsiniz.