NIS2/KSC2 starter pack. Czy Twoja firma podlega pod regulację i co z tego wynika? Bezpłatne szkolenie od sekuraka
Konferencja Mega Sekurak Hacking Party w Krakowie – 26-27 października!
Można było oglądać obraz z elektronicznych niań. Również w Polsce.
Gość, który pokazał jakiś czas temu jak zdalnie oglądać kamery z robotycznych odkurzaczy DJI, tym razem zabrał się za elektroniczne niańki.
Efekt? Mógł oglądać obrazy z kamer 1,1 miliona wideonianiek na całym świecie (też w Polsce). Schemat podatności był podobny jak w przypadku odkurzaczy – czyli serwer MQTT (kolejkowy) był dostępny z internetu dla wszystkich + można było czytać komunikaty z wszystkich nianiek.
W szczególności można było odczytać, gdzie kamery zapisywały obrazy, w momencie kiedy wykryły ruch (chmura Alibaba ;). Po prostu był to zwykły URL, z którego można pobrać obraz(y). Koleżka (Sammy Azdoufal) zgłosił blisko 10 podatności, w tym np. zahardcodowane we wszystkich niańkach (w firmwarze) to samo hasło do szyfrowania komunikatów z backendem.
Szczegóły którzy producenci byli dotknięci, co robić, plus cała dość fascynująca historia zgłoszenia do producenta – dostępne są tutaj.
~ms
miałem kiedyś kamerę / niańkę z ali. Hasło dostępu było stałe, a dostęp przez chińską chmurę. Co prawda używałem jej w firmie skierowaną na drzwi, więc obraz raczej nieciekawy, ale sama świadomość. Żeby się z nią połączyć, trzeba było znać – identyfikator (kolejne liczby) oraz hasło (które było stałe i to w stylu admin123).
-REALNA- globalna wioska???