100 000 Hichip sikkerhetskameraer i Storbritannia er ikke så sikre, da det viser seg
Internett-av-ting-enheter har eksistert i en stund, og på dette tidspunktet er det få som kan benekte bruken av dem. For å fungere er de imidlertid avhengige av teknologisk sammenkobling - noe som er mer enn en velsignelse - det er kjent at hackere bruker sårbarheter på slike enheter for å forårsake at ofrene deres ikke slutter på elendighet.
Mens avanserte enheter vanligvis er forhåndsinstallert med nødvendige sikkerhetsmessige tiltak for å sikre at forbrukeren er i sikkerhet mot depredasjoner av ne'er-do-brønner. Imidlertid er flertallet av enhetene som for tiden brukes over hele kloden ikke avanserte enheter, og det virker som om utsatte sårbarheter i nevnte enheters kode eller maskinvare blir oppdaget hver dag. Dette er nettopp tilfelle med CVE-2019-1121 9 og CVE-2019-11220 .
Trådløse sikkerhetskameraer bruker overveldende peer-to-peer-funksjoner (P2P) -funksjoner, som lar brukere koble seg til enhetene sine umiddelbart når de kommer på nettet. Dessverre har et smutthull i programvaren i iLnkP2P, en P2P-løsning utviklet av Shenzhen Yunni Technology Company, skapt to distinkte sårbarheter. Dette er de ovennevnte CVE-2019-11219 og CVE-2019-11220 .
CVE-2019-11219 refererer til en oppsummeringssårbarhet i iLnkP2P som gjør det mulig for hackere å raskt oppdage enheter som er online og tilgjengelige. På grunn av måten P2P fungerer på, kan angriperne da kunne koble seg til alle enheter de oppdaget direkte, helt utenom brannmurbegrensningene.
CVE-2019-11220 viser til en autentiseringssårbarhet i iLnkP2P som gjør det mulig for hackere å avskjære forbindelser mellom enheter, og effektivt gi dem muligheten til å utføre mann-i-midten-angrep. Hackere kan dra nytte av dette sikkerhetsproblemet for å få tilgang til en enhet og til og med stjele passordet.
Omkoblede brannmurer og stjålne enhetspassord er begge gode tilbud når det gjelder smarthemmesikkerhet. Oppdagelsen av disse to viktige sikkerhetsfeilene gjør effektivt hvilket som helst trådløst sikkerhetskamera til mer sårbarhet enn en eiendel. Og det virkelige problemet er at sårbarheten påvirker et bredt spekter av produkter. Over 100 000 av disse utrygge enhetene er i drift alene i Storbritannia, fra skriving av denne artikkelen.
Hvilke enheter blir berørt?
Det er relativt enkelt å sjekke om de smarte sikkerhetskameraene dine blir berørt av CVE-2019-11219 og CVE-2019-11220 . Alt du trenger å gjøre er å se på baksiden av selve enheten. Det skal være et spesielt serienummer kjent som en UID der. Det består av et par bokstaver, etterfulgt av et par tall, deretter fulgt av et par bokstaver til. Det du bør være oppmerksom på er den første bokstavkombinasjonen. Hvis du finner den bokstavkombinasjonen blant de som er oppført nedenfor, lider enheten din sannsynligvis av sikkerhetsproblemene beskrevet ovenfor.
AABB, AACC AID, AJT, AVA, BSIP, CAM CPTCAM, CTW, DFT, DFZ DYNE, EEEE, ELSA, ESN, ESS, EST, EYE, FFFF, GCMN, GGGG, GKW, HDT, HHHH, HRXJ, HVC, HWA HZD, HZDA, HZDB, HZDC, HZDN, HZDX, HZDY, HZDZ, IIII, IPC, ISRP, JWEV, KSC, MCI, MCIHD, MDI, MDIHD, MEG, MEYE, MGA, MGW, MIC, MICHD, MMMM, MNC, MNC, MSE, MSEHD, MSI, MSIHD, MTE, MTEHD, MUI, MUIHD, NIP, NIPHD, NNNN, NPC, NTP, OBJ, OHT, OPCS, OPMS PAR, PARC, PCS, PHP, PIO PIPCAM, PIX, PNP PPPP, PSD , PTP, QHSV, ROSS, SID, SIP, SSAA, SSSS, SXH, TIO, TSD, UID, VIO, VSTD, VSTF, WBT, WBTHD, WHI, WNR, WNS, WNSC, WNV, WXH, WXO, XDBL, XTST , ZES, ZLD, ZSKJ, ZZZZ
Hva bør du gjøre med dette?
- Hvis du allerede eier en av disse enhetene, bør du vite at det godt kan ende med å bli et alvorlig sikkerhetsansvar. Ideelt sett bør du slutte å bruke det og investere i et bedre produkt.
- Hvis du tenker å kjøpe et trådløst sikkerhetskamera - gjør litt research på forhånd, pass på at modellen du ser på ikke har noen dokumenterte sikkerhetsfeil, og vurder å ikke kjøpe den billigste som er tilgjengelig.