100 000 „Hichip“ saugumo kamerų JK nėra tokios saugios, kaip paaiškėja

Daiktų interneto prietaisai jau kurį laiką veikia, ir šiuo metu tik nedaugelis gali paneigti jų naudingumą. Tačiau norėdami veikti, jie remiasi technologiniu tarpusavio ryšiu, kuris yra daugiau nei palaima. Buvo žinoma, kad įsilaužėliai naudoja tokių įrenginių pažeidžiamumus, kad jų aukoms nebūtų kančios.

Aukščiausios klasės prietaisai paprastai būna iš anksto įdiegti su reikiamomis apsaugos priemonėmis, užtikrinančiomis, kad vartotojas yra saugus nuo naujų „šulinių“. Tačiau dauguma šiuo metu visame pasaulyje naudojamų prietaisų nėra aukščiausios klasės įrenginiai, ir atrodo, kad tokių įrenginių kode ar aparatinėje įrangoje pažeidžiamumas aptinkamas kiekvieną dieną. Būtent taip yra su CVE-2019-1121 9 ir CVE-2019-11220 .

Belaidės saugos kameros dažniausiai naudoja „peer-to-peer“ (P2P) funkcijas, leidžiančias vartotojams prisijungti prie savo įrenginių iškart prisijungus. Deja, programinės įrangos spraga „iLnkP2P“ - P2P sprendime, kurį sukūrė Šenzeno „Yunni“ technologijos kompanija, sukūrė dvi aiškias spragas. Tai yra aukščiau paminėti CVE-2019-11219 ir CVE-2019-11220 .

„CVE-2019-11219“ nurodo sąrašo pažeidžiamumą „iLnkP2P“, kuris leidžia įsilaužėliams greitai atrasti internete esančius ir pasiekiamus įrenginius. Dėl to, kaip veikia P2P, užpuolikai gali prisijungti prie bet kurio tiesiogiai aptikto įrenginio, visiškai apeidami ugniasienės apribojimus.

„CVE-2019-11220“ nurodo „ iLnkP2P “ autentifikavimo pažeidžiamumą, kuris leidžia įsilaužėliams užmegzti ryšius tarp įrenginių ir taip efektyviai suteikti jiems galimybę vykdyti „viduryje žmogaus“ puolimus. Piratai gali pasinaudoti šia pažeidžiamumu norėdami patekti į įrenginį ir net pavogti jo slaptažodį.

Apleistos ugniasienės ir pavogti įrenginių slaptažodžiai yra dideli sandoriai, kai kalbama apie sumanaus namo apsaugą. Šių dviejų esminių saugumo trūkumų atradimas bet kurią bevielio ryšio kamerą daro labiau pažeidžiamą, o ne naudingą. O tikroji problema yra ta, kad pažeidžiamumas turi įtakos daugybei produktų. Parašius šį straipsnį, vien JK veikia daugiau nei 100 000 šių nesaugių įrenginių.

Kokiems įrenginiams tai daro įtaką?

Gana lengva patikrinti, ar jūsų intelektualiosioms apsaugos kameroms įtakos neturi „ CVE-2019-11219“ ir „ CVE-2019-11220“ . Viskas, ką jums reikia padaryti, tai pažvelgti į paties prietaiso galinę dalį. Ten turėtų būti specialus serijos numeris, žinomas kaip UID . Jį sudaro pora raidžių, po jų eina pora skaičių, po to eina dar pora raidžių. Į ką reikėtų atkreipti dėmesį, tai pirmųjų raidžių derinys. Jei tą raidžių derinį rasite tarp žemiau pateiktų, jūsų įrenginys greičiausiai kenčia nuo aukščiau aprašytų pažeidžiamumų.

AABB, AACC PAGALBA, AJT, AVA, BSIP, CAM CPTCAM, CTW, DFT, DFZ DYNE, EEEE, ELSA, ESN, ESS, EST, EYE, FFFF, GCMN, GGGG, GKW, HDT, HHHH, HRXJ, HVC, HWAA HZD, HZDA, HZDB, HZDC, HZDN, HZDX, HZDY, HZDZ, IIII, IPC, ISRP, JWEV, KSC, MCI, MCIHD, MDI, MDIHD, MEG, MEYE, MGA, MGW, MIC, MICHD, MMMM, MNC, MSE, MSEHD, MSI, MSIHD, MTE, MTEHD, MUI, MUIHD, NIP, NIPHD, NNNN, NPC, NTP, OBJ, OHT, OPCS, OPMS PAR, PARC, PCS, PHP, PIO PIPCAM, PIX, PNP PPPP, PSD , PTP, QHSV, ROSS, SID, SIP, SSAA, SSSS, SXH, TIO, TSD, UID, VIO, VSTD, VSTF, WBT, WBTHD, WHI, WNR, WNS, WNSC, WNV, WXH, WXO, XDBL, XTST , ZES, ZLD, ZSKJ, ZZZZ

Ką turėtumėte padaryti dėl to?

1. Jei jau turite vieną iš šių įrenginių, turėtumėte žinoti, kad jis gali tapti rimta atsakomybe už saugumą. Idealiu atveju turėtumėte nustoti jį naudoti ir investuoti į geresnį produktą.
2. Jei galvojate įsigyti belaidę saugos kamerą - iš anksto atlikite šiek tiek tyrimų, įsitikinkite, kad žiūrimame modelyje nėra dokumentais pagrįstų saugumo trūkumų, ir apsvarstykite galimybę nepirkti pigiausio galimo.