100 000 kamer bezpieczeństwa Hichip w Wielkiej Brytanii nie jest tak bezpiecznych, jak się okazuje

Urządzenia Internetu rzeczy istnieją już od jakiegoś czasu, a na razie niewielu może zaprzeczyć ich użyteczności. Jednak, aby funkcjonować, polegają na technologicznych połączeniach - które są czymś więcej niż dobrodziejstwem - wiadomo, że hakerzy wykorzystują luki w zabezpieczeniach takich urządzeń, aby ich ofiary nie miały końca.

Podczas gdy wysokiej klasy urządzenia zwykle są wstępnie instalowane z niezbędnymi środkami bezpieczeństwa, aby zapewnić, że konsument jest bezpieczny przed kradzieżą ne'er-do-wells. Jednak większość urządzeń obecnie używanych na całym świecie nie jest urządzeniami wysokiej klasy i wydaje się, że luki w kodzie lub sprzęcie urządzeń są wykrywalne każdego dnia. Dokładnie tak jest w przypadku CVE-2019-1121 9 i CVE-2019-11220 .

Bezprzewodowe kamery bezpieczeństwa w przeważającej mierze wykorzystują funkcje peer-to-peer (P2P), które umożliwiają użytkownikom natychmiastowe łączenie się z urządzeniami, gdy są online. Niestety luka w oprogramowaniu w iLnkP2P, rozwiązaniu P2P opracowanym przez Shenzhen Yunni Technology Company, stworzyła dwie wyraźne luki w zabezpieczeniach. Są to wyżej wymienione CVE-2019-11219 i CVE-2019-11220 .

CVE-2019-11219 odnosi się do podatności na wyliczenie w iLnkP2P, która umożliwia hakerom szybkie wykrycie urządzeń online i dostępnych. Ze względu na sposób, w jaki działa funkcja P2P, osoby atakujące mogą wtedy być w stanie połączyć się z dowolnym urządzeniem, które odkryły bezpośrednio, całkowicie omijając ograniczenia zapory.

CVE-2019-11220 odnosi się do podatności na uwierzytelnianie w iLnkP2P, która umożliwia hakerom przechwytywanie połączeń między urządzeniami, co skutecznie daje im możliwość przeprowadzania ataków typu man-in-the-middle. Hakerzy mogą wykorzystać tę lukę, aby uzyskać dostęp do urządzenia, a nawet ukraść hasło.

Ominięte zapory ogniowe i skradzione hasła do urządzeń to zarówno wielkie interesy, jeśli chodzi o bezpieczeństwo inteligentnego domu. Odkrycie tych dwóch istotnych wad bezpieczeństwa skutecznie czyni każdą bezprzewodową kamerę bezpieczeństwa bardziej podatną na ataki niż zasobem. Prawdziwy problem polega na tym, że luka dotyczy szerokiej gamy produktów. W chwili pisania tego artykułu ponad 100 000 tych niebezpiecznych urządzeń działa w samej Wielkiej Brytanii.

Których urządzeń to dotyczy?

Stosunkowo łatwo jest sprawdzić, czy CVE-2019-11219 i CVE-2019-11220 mają wpływ na inteligentne kamery bezpieczeństwa. Wystarczy spojrzeć z tyłu samego urządzenia. Powinien tam znajdować się specjalny numer seryjny znany jako UID . Składa się z kilku liter, po których następuje kilka cyfr, a następnie kilka kolejnych liter. Należy zwrócić uwagę na pierwszą kombinację liter. Jeśli znajdziesz tę kombinację liter spośród wymienionych poniżej, oznacza to, że Twoje urządzenie prawdopodobnie cierpi z powodu opisanych wyżej luk.

AABB, AACC AID, AJT, AVA, BSIP, CAM CPTCAM, CTW, DFT, DFZ DYNE, EEEE, ELSA, ESN, ESS, EST, EYE, FFFF, GCMN, GGGG, GKW, HDT, HHHH, HRXJ, HVC, HWAA HZD, HZDA, HZDB, HZDC, HZDN, HZDX, HZDY, HZDZ, IIII, IPC, ISRP, JWEV, KSC, MCI, MCIHD, MDI, MDIHD, MEG, MEYE, MGA, MGW, MIC, MICHD, MMMM, MNC, MSE, MSEHD, MSI, MSIHD, MTE, MTEHD, MUI, MUIHD, NIP, NIPHD, NNNN, NPC, NTP, OBJ, OHT, OPCS, OPMS PAR, PARC, PCS, PHP, PIO PIPCAM, PIX, PNP PPPP, PSD , PTP, QHSV, ROSS, SID, SIP, SSAA, SSSS, SXH, TIO, TSD, UID, VIO, VSTD, VSTF, WBT, WBTHD, WHI, WNR, WNS, WNSC, WNV, WXH, WXO, XDBL, XTST , ZES, ZLD, ZSKJ, ZZZZ

Co powinieneś z tym zrobić?

1. Jeśli posiadasz już jedno z tych urządzeń, powinieneś wiedzieć, że może to być poważne zagrożenie bezpieczeństwa. Najlepiej byłoby, gdybyś przestał go używać i zainwestował w lepszy produkt.
2. Jeśli zastanawiasz się nad zakupem bezprzewodowej kamery bezpieczeństwa - zrób wcześniej trochę badań, upewnij się, że model, na który patrzysz, nie ma żadnych udokumentowanych wad bezpieczeństwa i rozważ kupno najtańszej dostępnej kamery.