Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
IoT: (nie)bezpieczeństwo tanich kamer IP
Pewien użytkownik prostej kamery IP postanowił przyjrzeć się bliżej jej zabezpieczeniom. Odnalazł sporo bardzo interesujących funkcji swego urządzenia.
Kamerka, która wygląda jak Eminent EM6220 (prawdopodobnie ten sam układ jest też sprzedawany pod innymi markami) jest pełna osobliwości.
Komunikacja aplikacji z samym urządzeniem odbywa się po HTTP na porcie 81, a każde żądanie GET przesyła nazwę użytkownika i hasło jawnym tekstem…
Eminent EM6220
Co jednak najciekawsze, po krótkiej zabawie okazało się, że urządzenie jest wyposażone w nieudokumentowany telnet, a hasło roota to po prostu „123456”. Nawet jeśli hasło zostanie zmienione, to w takiej samej postaci zostanie przywrócone po restarcie…
Proste shodanowe zapytanie wskazuje, że w Internecie widocznych jest ponad 70 tys. tego typu urządzeń. W sieci znaleźć można również sporo informacji o podobnych backdoorach odnalezionych w kamerkach IP.
Powinni płacić odszkodowania za specjalnie zrobione tylne furtki.
Buffer overflowy jeszcze mogę zrozumieć, ale takie kwiatki nie.
Kamerka działa? Działa. Nie ma za bardzo podstawy prawnej do takiego odszkodowania.
Jest podstawa – działa w sposób niezgodny z wymaganiami użytkownika.
Użytkownik chce dane z kamerki widzieć tylko na swoim komputerze.
Moim zdaniem polski kodeks cywilny wystarczy, by kamerkę reklamować i żądać naprawy (co może być niemożliwe) albo zwrotu gotówki.
Kto wystawia publicznie takie urządzenia bez dodatkowego zabezpieczenia sam sobie winien.