Urządzenie do liczenia ludzi w budynkach. Czegoś tak hardkorowego od strony bezpieczeństwa IT (chyba) nie widzieliście…

Producent tego urządzenia (Footfallcam) reklamuje się jako:

World’s No.1 People Counting System (…) Best Selling People Counter in 2019

Ale zostawmy marketing na boku i przejdźmy do tego co lubimy najbardziej – tutaj ciekawy wątek (w zasadzie cały artykuł :) w formie powiązanych tweetów:

Otóż badacz rozbebeszył urządzenie… ale jeszcze przed rozbebeszeniem, zauważył, że system wystawia sieć z zabetonowanym… ekhem to znaczy zahardkodowanym SSID oraz zahardkodowanym hasłem (tj. obu tych elementów nie da się zmienić).

Dalej: hasło na admina (interfejs HTTP): 123456 (tak, nie da się go zmienić (!)).

Urządzenie jak widzicie ma interfejs WiFi, ale posiada też możliwość połączenia ethernetem (ciekawe do jakich sieci klienci je podłączają ;-)

No dobrze, rozbebeszył urządzenie a tam…maaaalina! :)

No więc zdumpował firmware z maliny i znalazł tam prawdziwy róg obfitości:

Bruno Mars MP3 ? Pełny .bash_history !??? Pełny .sqllite_history !!!???

W webroocie bałagan jak w Stajni Cyber-Augiasza (co tam robią pliki .pyc?)

No dobra, koniec śmieszkowania: działa tam serwer SSH, ale użytkownik pi ma zmienione hasło! Na jakie? A takie proste do krakowania czy nawet zgadnięcia:

The pi user is still active and allowed on a running SSH server. They did change the password, but that shadow file certainly comes in handy. I will not post the password here, but it’s not exactly difficult to crack OR guess.

Badacz poinformował producenta, ale nie otrzymał odpowiedzi (czekał 5 tygodni).

Nie wiem jak Wy, ale my daliśmy się przekonać reklamie z początku postu – kupujemy to urządzenie, będzie ciekawym eksponatem na naszych szkoleniach :-)

–ms