Kaspersky: Un virus ar putea să transforme camerele video în instrumente de urmărire

16.03.2018

Cercetătorii Kaspersky Lab au descoperit mai multe vulnerabilități de securitate la o cunoscută marcă de camere inteligente care sunt folosite frecvent ca sisteme de monitorizare a bebelușilor sau pentru locuințe sau birouri. Conform cercetării, defectele descoperite le-ar permite atacatorilor, printre altele, să obțină acces de la distanță la fluxurile video sau audio din cameră, să dezactiveze aceste dispozitive și să execute cod periculos pe ele.

Camerele inteligente moderne conțin o serie de funcții avansate care le oferă utilizatorilor numeroase posibilități: oamenii le pot folosi ca monitoare de bebeluși sau ca sisteme de supraveghere care detectează intrușii când nu este nimeni acasă sau la birou.

Analize anterioare realizate de mai mulți cercetători în securitate au arătat că, în general, camerele inteligente tind să conțină vulnerabilități de securitate mai mult sau mai puțin grave. Însă, în cea mai recentă cercetare, experții Kaspersky Lab au descoperit ceva ieșit din comun: o serie întreagă de camere inteligente s-au dovedit vulnerabile la atacuri de la distanță. Acest lucru este cauzat de o structură în cloud cu probleme la capitolul siguranță, creată inițial pentru a le permite deținătorilor de camere să acceseze, de la distanță, materiale video de pe dispozitivele lor.

Folosind aceste vulnerabilități, niște utilizatori rău intenționați ar putea să execute următoarele atacuri:

– Accesarea fluxurilor video și audio de pe orice cameră conectată la un serviciu cloud vulnerabil;

– Acces root de la distanță, la o cameră, și folosirea lui ca punct de intrare pentru alte atacuri pe alte dispozitive, pe rețele locale și externe;

– Încărcarea de la distanță și executarea unor coduri periculoase pe camere;

– Furtul de informații personale, cum ar fi conturile de pe rețele de socializare ale utilizatorilor și alte informații folosite pentru a trimite notificări;

– Compromiterea („bricking”) de la distanță a camerelor vulnerabile.

După descoperire, cercetătorii Kaspersky Lab au contactat producătorul camerelor afectate, Hanwha Techwin. La momentul publicării cercetării, unele vulnerabilități au fost deja rezolvate, iar restul urmează să fie rezolvate în curând, potrivit producătorului.

Toate aceste atacuri au fost posibile pentru că experții au descoperit că modul în care camerele interacționează cu serviciul de cloud avea probleme de securitate și putea interfera relativ ușor cu alte dispozitive. De asemenea, au descoperit că structura serviciului de cloud în sine este vulnerabilă la interferențe exterioare.

Este important de remarcat că astfel de atacuri sunt posibile doar dacă atacatorii știu numărul de serie al camerei. Însă, modul în care sunt generate numerele de serie este relativ ușor de aflat prin intermediul unor atacuri simple prin forță brută (încercarea unui număr mare de parole, în speranța de a o găsi pe cea corectă): sistemul de înregistrare al camerei nu a avut protecție împotriva unor astfel de atacuri.

În timpul cercetării, experții Kaspersky Lab au reușit să identifice aproape 2.000 de camere vulnerabile disponibile online, dar acestea erau doar camerele care aveau un IP propriu, prin urmare erau disponibile direct prin intermediul Internetului. Numărul real de dispozitive vulnerabile din spatele router-erelor și al firewall-urilor ar putea să fie de câteva ori mai mare.

„Problema cu securitatea dispozitivelor IoT este că și clienții și vânzătorii cred – în mod greșit – că, dacă pui dispozitivul în rețeaua ta și îl separi de Internetul mare cu ajutorul unui router, vei rezolva majoritatea problemelor de securitate – sau cel puțin vei diminua semnificativ gravitatea problemelor actuale”, spune Vladimir Dashchenko, Head of vulnerabilities research group la Kaspersky Lab ICS CERT.

În plus, cercetătorii au găsit o funcție neprevăzută în documentația produsului, care putea fi utilizată de companie pentru testele finale de producție. În același timp, infractorii ar putea să folosească această cale ascunsă pentru a transmite semnale periculoase către orice cameră sau să schimbe o comandă deja trimisă către ele. În plus, această caracteristică în sine s-a dovedit vulnerabilă. Ar putea fi exploatată mai departe cu un „buffer overflow”, care să ducă în final la închiderea camerei. Compania a rezolvat acum această problemă și a eliminat această caracteristică.

„În multe cazuri este corect: înainte de a exploata problemele de securitate ale dispozitivelor din interiorul unei rețele vizate, e nevoie ca un atacator să aibă acces la router. Cu toate acestea, cercetarea noastră arată că s-ar putea să nu fie chiar așa: respectivele camere pe care le-am investigat puteau să comunice cu exteriorul doar printr-un serviciu cloud, dar care era vulnerabil.Foarte interesant este că, în afara vectorilor de atac descriși anterior, cum ar fi infecții cu malware și botnet-uri, am descoperit că acele camere puteau fi folosite și pentru mining de cripto-monede. Această activitate devine una dintre principalele amenințări cu care se confruntă companiile, iar mining-ul cu ajutorul dispozitivelor IoT este o tendință nou apărută, ca urmare a folosirii tot mai multor dispozitive IoT, și care va continua să crească”, a încheiat Vladimir Dashchenko.

 

 

 

 

Citiți și despre: