Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Przejmowanie obrazu z kamer Hikvision
Ciekawe badanie zaczynające się od interesującego stwierdzenia: „po co przejmować pojedyncze kamery, jeśli można przejąć wszystkie – atakując ich infrastrukturę cloudową”.
Początek jest dość zabawny – będąc zalogowanym do clouda (hik-connect.com) można było podmienić userID (w cookie) na ID innego użytkownika i… otrzymywałem dostęp do tego konta (w tym dostęp do obrazu na żywo z kamery).
Łatwo? Niby tak, ale ID był tworzony… nie wiadomo dokładnie w jaki sposób (na pewno nie były to liczby typu: 1,2,3,4…). Jednak po pewnym poszukiwaniu, można było zlokalizować interfejs, który dawał userID użytkownika o zadanym loginie, e-mailu lub telefonie. Podatność została załatana przez firmę Hikvision.
–ms
Gdzie/jak mogę znaleźć strukturę firmware kamer Hikvision?
Michał dość płynnie poruszał się po ścieżkach w firmware kamer na SHP w Poznaniu. (Podzielisz się wiedzą/źródłem?)
Chciałbym zmienić powiadomienia email swojej kamery z oryginalnych na własne :)