100.000 câmeras de segurança Hichip no Reino Unido não são tão seguras, como se vê

Os dispositivos de Internet das coisas existem há algum tempo e, neste momento, poucos podem negar sua utilidade. No entanto, para funcionar, eles dependem da interconexão tecnológica - o que é mais do que uma benção -, sabe-se que os hackers usam vulnerabilidades nesses dispositivos para causar às vítimas sem fim a miséria.

Embora os dispositivos high-end geralmente sejam pré-instalados com as contramedidas de segurança necessárias para garantir que o consumidor esteja a salvo das depredações dos ne'er-do-wells. No entanto, a maioria dos dispositivos atualmente em uso em todo o mundo não é de última geração, e parece que as vulnerabilidades exploráveis no código ou hardware desses dispositivos são descobertas todos os dias. Esse é precisamente o caso do CVE-2019-1121 9 e do CVE-2019-11220 .

As câmeras de segurança sem fio utilizam predominantemente recursos ponto a ponto (P2P), que permitem aos usuários conectar-se a seus dispositivos instantaneamente quando ficam online. Infelizmente, uma brecha de software no iLnkP2P, uma solução P2P desenvolvida pela Shenzhen Yunni Technology Company, criou duas vulnerabilidades distintas. Estes são os mencionados CVE-2019-11219 e CVE-2019-11220 .

CVE-2019-11219 refere - se a uma vulnerabilidade de enumeração no iLnkP2P que permite aos hackers descobrir rapidamente dispositivos online e disponíveis. Devido ao modo como o P2P funciona, os invasores podem se conectar a qualquer dispositivo que descobriram diretamente, ignorando completamente as restrições de firewall.

CVE-2019-11220 refere - se a uma vulnerabilidade de autenticação no iLnkP2P que permite que hackers interceptem conexões entre dispositivos, dando-lhes efetivamente a oportunidade de realizar ataques man-in-the-middle. Os hackers podem tirar proveito dessa vulnerabilidade para obter acesso a um dispositivo e até roubar sua senha.

Os firewalls ignorados e as senhas roubadas de dispositivos são um grande negócio quando se trata de segurança doméstica inteligente. A descoberta dessas duas falhas cruciais de segurança efetivamente transforma qualquer câmera de segurança sem fio em mais uma vulnerabilidade do que um ativo. E o verdadeiro problema é que a vulnerabilidade afeta uma ampla gama de produtos. Mais de 100.000 desses dispositivos inseguros estão operacionais apenas no Reino Unido, na época em que este artigo foi escrito.

Quais dispositivos são afetados?

É relativamente fácil verificar se suas câmeras de segurança inteligentes são afetadas ou não pelo CVE-2019-11219 e CVE-2019-11220 . Tudo o que você precisa fazer é dar uma olhada na parte traseira do próprio dispositivo. Deve haver um número de série especial conhecido como UID lá. Consiste em algumas letras, seguidas por alguns números e depois por mais algumas letras. O que você deve observar é a combinação da primeira letra. Se você encontrar essa combinação de letras entre as listadas abaixo, é provável que o seu dispositivo sofra das vulnerabilidades descritas acima.

AABB, AACC AID, AJT, AVA, BSIP, CAM CPTCAM, CTW, DFT, DFZ DYNE, EEEE, ELSA, ESN, ESS, EST, OLHO, FFFF, GCMN, GGGG, GKW, HDT, HHHH, HRXJ, HVC, HWAA HZD, HZDA, HZDB, HZDC, HZDN, HZDX, HZDY, HZDZ, IIII, IPC, ISRP, JWEV, KSC, MCI, MCIHD, MDI, MDIHD, MEG, MEYE, MGA, MGW, MIC, MICHD, MMMM, MNC, MSE, MSEHD, MSI, MSIHD, MTE, MTEHD, MUI, MUIHD, NIP, NIPHD, NNNN, NPC, NTP, OBJ, OHT, OPCS, OPMS PAR, PARC, PCS, PHP, PIO PIPCAM, PIX, PNP PPPP, PSD , PTP, QHSV, ROSS, SID, SIP, SSAA, SSSS, SXH, TIO, TSD, UID, VIO, VSTD, VSTF, WBT, WBTHD, WHI, WNR, WNS, WNSC, WNV, WXH, WXO, XDBL, XTST , ZES, ZLD, ZSKJ, ZZZZ

O que você deve fazer sobre isso?

  1. Se você já possui um desses dispositivos, deve saber que ele pode acabar sendo uma grave responsabilidade de segurança. Idealmente, você deve parar de usá-lo e investir em um produto melhor.
  2. Se você está pensando em comprar uma câmera de segurança sem fio - faça uma pesquisa prévia, verifique se o modelo que você está vendo não possui falhas de segurança documentadas e considere não comprar a mais barata disponível.
June 23, 2020

Deixe uma Resposta