Σύμφωνα με την τελευταία έρευνα της ESET για το IoT, η cloud κάμερα D-Link DCS-2132L παρουσιάζει πολλά τρωτά σημεία ασφαλείας, που επιτρέπουν την πρόσβαση σε μη εξουσιοδοτημένα πρόσωπα. Σύμφωνα με ενημέρωση από πλευράς κατασκευαστή, έχουν επιδιορθωθεί κάποιες από τις ευπάθειες, ωστόσο υπάρχουν ακόμη προβλήματα.

«Το πιο σοβαρό πρόβλημα με την cloud κάμερα D-Link DCS-2132L είναι το μη κρυπτογραφημένο video streaming. Εκτελείται χωρίς κρυπτογράφηση και στις δύο συνδέσεις –  μεταξύ της κάμερας και του cloud και μεταξύ του cloud και της εφαρμογής που χρησιμοποιεί ο χρήστης. Ως αποτέλεσμα, προσφέρεται πρόσφορο έδαφος για επιθέσεις man-in-the-middle (MitM) και επιτρέπεται στους εισβολείς να κατασκοπεύουν τις ροές βίντεο των θυμάτων», εξηγεί ο Milan Fránik, ερευνητής στο ESET Research Lab στη Μπρατισλάβα.

Ένα άλλο σοβαρό πρόβλημα που εντοπίστηκε στην κάμερα ήταν κρυμμένο στο plug-in της εφαρμογής «myDlink services» για web browser. Πρόκειται για μία από τις εναλλακτικές εφαρμογές παρακολούθησης που έχει στη διάθεσή του ο χρήστης. Διατίθενται και εφαρμογές για mobile, οι οποίες ωστόσο δεν ήταν μέρος της έρευνας της ESET.

To συγκεκριμένο plug-in διαχειρίζεται τη δημιουργία της σύνδεσης  TCP και την αναπαραγωγή live video στο πρόγραμμα περιήγησης του χρήστη, αλλά είναι επίσης υπεύθυνη για την προώθηση αιτημάτων για streaming δεδομένων τόσο βίντεο όσο και ήχου μέσω μίας σύνδεσης, η οποία «ακούει» μια θύρα που έχει ανοίξει στο localhost.

«Η ευπάθεια του plug-in θα μπορούσε να επιφέρει σοβαρές συνέπειες στην ασφάλεια της κάμερας, καθώς επέτρεπε στους εισβολείς να αντικαταστήσουν το νόμιμο firmware με ένα δικό τους πλαστό ή με μία έκδοση με back-door» σημειώνει ο Fránik.

Η ESET έχει αναφέρει όλες τις ευπάθειες που βρέθηκαν στον κατασκευαστή. Από τότε, ορισμένες από τις ευπάθειες – κυρίως στο plug-in myDlink – επιδιορθώθηκαν και ενημερώθηκαν με patch, αλλά εξακολουθούν να υπάρχουν ζητήματα με τη μη κρυπτογραφημένη μετάδοση. 

Για αναλυτικότερη περιγραφή των τρωτών σημείων και των πιθανών σεναρίων επίθεσης, διαβάστε την έρευνα «D-Link camera vulnerability allows attackers to tap into the video stream» στο site της ESET, WeLiveSecurity.com.