Смарт-камера виявилася вкрай вразлива до атак

  1. Шпигун, вийди геть
  2. зомбі наступають
  3. Похмуре майбутнє?

Сумно, але безпеку розумних пристроїв ніяк не встигає за їх популярністю. Чим це загрожує користувачу інтелектуальних побутових приладів, ми вам недавно розповідали . А сьогоднішній пост присвячений черговий знахідку наших фахівців - розумною камері, в якій вразливостей виявилося чи не більше, ніж функцій в керівництві користувача. Сумно, але безпеку розумних пристроїв ніяк не встигає за їх популярністю

Серйозно, список виявлених вразливостей - його можна знайти в повному звіті на Securelist - включає цілих 13 пунктів. Давайте спробуємо розібратися, що це може означати на практиці для власника такої камери.

Мова в нашому дослідженні йде про моделі Hanwha SNH-V6410PN , Яку виробляє Techwin, колишня дочірня компанія Samsung. Незважаючи на те, що вона пару років тому змінила власника, до 2017 року камери продовжували випускатися під брендом Samsung, і їх досі можна зустріти в магазинах - в тому числі і в Росії .

Камеру пропонують покупцям як універсальний засіб моніторингу - і для дитячої, і для квартири в цілому, і для невеликого офісу. Пристрій уміє бачити в темряві, повертатися слідом за об'єктом, що рухається, передавати картинку на смартфон або планшет, а також відтворювати звук через вбудований динамік.

Вся робота з камерою відбувається через хмарний сервіс, до якого можна підключитися з комп'ютера або мобільного пристрою. Як виявили експерти нашого Центру промислової безпеки , Через велику кількість вразливостей команди пристрою може відправити не тільки його господар. І в результаті зломщику відкривається широкий спектр можливостей.

Наприклад, можна підміняти зображення, яке отримує користувач. Зовсім як у фільмах-бойовиках, де лиходії - або герої - відправляють охорони зображення тижневої давності, а самі тим часом проникають на об'єкт, що охороняється. Тільки зараз це може вдіяти не кіногерой, а цілком реальні зловмисники, які вирішили обчистити квартиру, дачу або офіс, що знаходяться під захистом розумної камери.

Провести розвідку перед тим, як відправитися на справу, потенційним злочинцям допоможе та ж сама зламана камера. У процесі дослідження наші експерти змогли і перехопити відео, і підслухати звук, і дістати геолокаційні дані. Це означає, що зловмисник зможе дізнатися, де знаходиться конкретний пристрій, яке він зламав, потім досліджувати звички мешканців або співробітників - і спланувати проникнення. І для цього йому навіть не доведеться вставати з крісла - все робиться віддалено, через Інтернет.

Шпигун, вийди геть

Навіть якщо не розглядати настільки драматичні сценарії, як пограбування, є купа інших можливостей, якими може скористатися хакер. Наприклад, як і багато інших розумні пристрої, камера вміє обмінюватися даними з соціальними мережами та інтернет-сервісами - так її власник отримує повідомлення про різні події в зоні спостереження. Зламавши камеру, зловмисник зможе не тільки дізнатися логіни і паролі від акаунтів, але і розсилати з небезпечного пристрою спам або фішингові повідомлення вашим друзям.

А щоб замести сліди - або просто з пристрасті до руйнування, - камери можна і зовсім вивести з ладу, причому навіть без можливості відновлення.

Про очевидні речі - на зразок можливості спостерігати за особистим життям мешканців квартири, обладнаної смарт-камерою - і говорити нема чого. хакери розважаються подібними іграми регулярно .

А ще камера вміє відтворювати звук через вбудований динамік. Уявіть, що буде, якщо видеоняня раптом скаже вашому чаду, що в під'їзді на нього чекає подарунок - просто відкрий двері і забери. А це тільки один з можливих варіантів ...

зомбі наступають

Пару років тому світ познайомився з можливостями IoT -ботнетов - тисячі смарт-пристроїв обрушили кілька великих інтернет-сервісів. Ця загроза є актуальною і для розумних камер Hanwha. Зламавши сотні або тисячі камер, кіберзлочинці можуть відправити їх в DDoS-атаку або «загнати в кріптошахту», щоб Майні криптовалюта. Або відправити заражати сусідні пристрої, пов'язані з ними однією мережею.

Похмуре майбутнє?

До речі, крім домашньо-офісних камер компанія Hanwha виробляє і промислові системи відеоспостереження . Ще в портфоліо цього виробника є такі цікаві речі, як самохідні артилерійські установки і автономні кулеметні турелі . Сподіваємося, що безпеку при розробці програмного забезпечення для цих пристроїв стоїть на першому місці.

Про всі проблеми, виявлених нашими дослідниками в прошивці камери Hanwha SNH-V6410PN і хмарному сервісі, через який вона управляється, ми повідомили виробнику, і компанія вже усунула більшість вразливостей .

А поки виробники розумних пристроїв - в цілому - не взялися за розум і не стали ставитися до захисту своїх продуктів в рази серйозніше ще на перших етапах розробки, ми радимо вам самим подбати про свою безпеку.

  • Перш ніж купувати розумний пристрій - наприклад, відеоняню з керуванням через смартфон, задумайтеся, чи так воно вам потрібно. Якщо все-таки потрібно - перевірте, чи немає в Інтернеті інформації про його злом і незакритих уразливість.
  • Щоб знизити ризики атаки на пристрої, які у вас вже є, потрібно знати про них якомога більше. «Лабораторія Касперського» випустила додаток Kaspersky IoT Scanner - безкоштовне рішення для захисту смарт-гаджетів. Воно допоможе перевірити вашу Wi-Fi-мережу і розповість, чи надійно захищені підключення до неї пристрої.

Похмуре майбутнє?