Porwanie dowolnych niani wideo miSafes Mi-Cam
Możesz polegać na swoim niania elektroniczna mieć oko na swoje maleństwo, ale nowo odkryta luka sugeruje, że rodzice mogą nie być jedynymi, którzy obserwują swoje dzieci. Zgodnie z ostrzeżeniem austriackiej firmy zajmującej się cyberbezpieczeństwem Konsultanci SECwygląda na to, że elektroniczna niania Mi-Cam jest podatna na „wiele krytycznych luk w zabezpieczeniach, które obejmują nieuwierzytelniony dostęp i przejmowanie dowolnych niani wideo”.
Polecane filmy
Szacuje się, że około 50 000 osób ma w swoich domach kamery Mi-Cam i wydaje się, że każda z nich może paść ofiarą hakerów. Aktorzy o złych intencjach mogą rzekomo włamać się do Mi-Cam i wykorzystać je do szpiegowania niemal wszystkiego, co widzą kamery.
SEC Consult twierdzi, że próbowała skontaktować się z MiSafe, firmą stojącą za Mi-Cam, aby ostrzec ją przed potencjalnymi lukami w zabezpieczeniach. Niestety firma ochroniarska twierdzi, że nie otrzymała żadnej odpowiedzi, w związku z czym nalega, aby klienci wyłączyli Mi-Cam w celu ochrony siebie.
Aby włamać się do Mi-Cam, atakujący musiałby po prostu skonfigurować serwer proxy zdolny do przechwytywania i modyfikowania żądania HTTP między smartfon i urządzenie. W ten sposób osoby atakujące będą mogły sprawdzić nagrania Mi-Cam bez konieczności podawania hasła w aplikacji towarzyszącej urządzeniu. Co więcej, SEC Consult twierdzi, że istnieje kilka interfejsów API, które pomogły im uzyskać informacje o tym, jak połączyć się z siecią w chmurze Mi-Cam i faktycznie bawić się nianią.
Jak zauważył Johannes Greil, szef laboratorium SEC Consult Vulnerability Lab: „Informacje uzyskane za pomocą tej funkcji wystarczą do przeglądania i interakcji ze wszystkimi podłączonymi urządzeniami wideo monitory dla dostarczonego [ID użytkownika].” Najwyraźniej identyfikatory użytkowników również były dość łatwe do odgadnięcia.
Dzięki wysiłkom hakerskim białych kapeluszy SEC Consult była w stanie całkowicie zautomatyzować przechwytywanie treści pomiędzy kamerą Mi-Cam a serwerem w chmurze, co ułatwiło skuteczne skonfigurowanie stałego strumienia wideo na żywo karmi.
Rozwiązanie tych (między innymi) problemów okazało się wyzwaniem, zwłaszcza że nie jest do końca jasne, kto jest odpowiedzialny za Mi-Cam. Chociaż faktycznym twórcą urządzenia jest MiSafe, wydaje się, że technologia QiWo Smartlink ma prawa do tej technologii. Forbesa donosi, że za aktualizacje oprogramowania rzeczywiście odpowiada QiWo i po które firma sięgnie zwrócić się do Komisji Papierów Wartościowych (SEC) w celu jak najszybszego zajęcia się kwestiami bezpieczeństwa możliwy.
Na szczęście wygląda na to, że kamery Mi-Cam nie są już produkowane, co oznacza, że nie można już kupić tych wadliwych niani. Ale jeśli jesteś jedną z około 50 000 osób, które już mają jeden z tych aparatów, prawdopodobnie będziesz chciał je na razie wyłączyć.
Ulepsz swój styl życiaDigital Trends pomaga czytelnikom śledzić szybko rozwijający się świat technologii dzięki najnowszym wiadomościom, zabawnym recenzjom produktów, wnikliwym artykułom redakcyjnym i jedynym w swoim rodzaju zajawkom.
