Смарт-камера виявилася вкрай вразлива до атак
Сумно, але безпеку розумних пристроїв ніяк не встигає за їх популярністю. Чим це загрожує користувачу інтелектуальних побутових приладів, ми вам недавно розповідали . А сьогоднішній пост присвячений черговий знахідку наших фахівців - розумною камері, в якій вразливостей виявилося чи не більше, ніж функцій в керівництві користувача.
Серйозно, список виявлених вразливостей - його можна знайти в повному звіті на Securelist - включає цілих 13 пунктів. Давайте спробуємо розібратися, що це може означати на практиці для власника такої камери.
Мова в нашому дослідженні йде про моделі Hanwha SNH-V6410PN , Яку виробляє Techwin, колишня дочірня компанія Samsung. Незважаючи на те, що вона пару років тому змінила власника, до 2017 року камери продовжували випускатися під брендом Samsung, і їх досі можна зустріти в магазинах - в тому числі і в Росії .
Камеру пропонують покупцям як універсальний засіб моніторингу - і для дитячої, і для квартири в цілому, і для невеликого офісу. Пристрій уміє бачити в темряві, повертатися слідом за об'єктом, що рухається, передавати картинку на смартфон або планшет, а також відтворювати звук через вбудований динамік.
Вся робота з камерою відбувається через хмарний сервіс, до якого можна підключитися з комп'ютера або мобільного пристрою. Як виявили експерти нашого Центру промислової безпеки , Через велику кількість вразливостей команди пристрою може відправити не тільки його господар. І в результаті зломщику відкривається широкий спектр можливостей.
Наприклад, можна підміняти зображення, яке отримує користувач. Зовсім як у фільмах-бойовиках, де лиходії - або герої - відправляють охорони зображення тижневої давності, а самі тим часом проникають на об'єкт, що охороняється. Тільки зараз це може вдіяти не кіногерой, а цілком реальні зловмисники, які вирішили обчистити квартиру, дачу або офіс, що знаходяться під захистом розумної камери.
Провести розвідку перед тим, як відправитися на справу, потенційним злочинцям допоможе та ж сама зламана камера. У процесі дослідження наші експерти змогли і перехопити відео, і підслухати звук, і дістати геолокаційні дані. Це означає, що зловмисник зможе дізнатися, де знаходиться конкретний пристрій, яке він зламав, потім досліджувати звички мешканців або співробітників - і спланувати проникнення. І для цього йому навіть не доведеться вставати з крісла - все робиться віддалено, через Інтернет.
Шпигун, вийди геть
Навіть якщо не розглядати настільки драматичні сценарії, як пограбування, є купа інших можливостей, якими може скористатися хакер. Наприклад, як і багато інших розумні пристрої, камера вміє обмінюватися даними з соціальними мережами та інтернет-сервісами - так її власник отримує повідомлення про різні події в зоні спостереження. Зламавши камеру, зловмисник зможе не тільки дізнатися логіни і паролі від акаунтів, але і розсилати з небезпечного пристрою спам або фішингові повідомлення вашим друзям.
А щоб замести сліди - або просто з пристрасті до руйнування, - камери можна і зовсім вивести з ладу, причому навіть без можливості відновлення.
Про очевидні речі - на зразок можливості спостерігати за особистим життям мешканців квартири, обладнаної смарт-камерою - і говорити нема чого. хакери розважаються подібними іграми регулярно .
А ще камера вміє відтворювати звук через вбудований динамік. Уявіть, що буде, якщо видеоняня раптом скаже вашому чаду, що в під'їзді на нього чекає подарунок - просто відкрий двері і забери. А це тільки один з можливих варіантів ...
зомбі наступають
Пару років тому світ познайомився з можливостями IoT -ботнетов - тисячі смарт-пристроїв обрушили кілька великих інтернет-сервісів. Ця загроза є актуальною і для розумних камер Hanwha. Зламавши сотні або тисячі камер, кіберзлочинці можуть відправити їх в DDoS-атаку або «загнати в кріптошахту», щоб Майні криптовалюта. Або відправити заражати сусідні пристрої, пов'язані з ними однією мережею.
Похмуре майбутнє?
До речі, крім домашньо-офісних камер компанія Hanwha виробляє і промислові системи відеоспостереження . Ще в портфоліо цього виробника є такі цікаві речі, як самохідні артилерійські установки і автономні кулеметні турелі . Сподіваємося, що безпеку при розробці програмного забезпечення для цих пристроїв стоїть на першому місці.
Про всі проблеми, виявлених нашими дослідниками в прошивці камери Hanwha SNH-V6410PN і хмарному сервісі, через який вона управляється, ми повідомили виробнику, і компанія вже усунула більшість вразливостей .
А поки виробники розумних пристроїв - в цілому - не взялися за розум і не стали ставитися до захисту своїх продуктів в рази серйозніше ще на перших етапах розробки, ми радимо вам самим подбати про свою безпеку.
- Перш ніж купувати розумний пристрій - наприклад, відеоняню з керуванням через смартфон, задумайтеся, чи так воно вам потрібно. Якщо все-таки потрібно - перевірте, чи немає в Інтернеті інформації про його злом і незакритих уразливість.
- Щоб знизити ризики атаки на пристрої, які у вас вже є, потрібно знати про них якомога більше. «Лабораторія Касперського» випустила додаток Kaspersky IoT Scanner - безкоштовне рішення для захисту смарт-гаджетів. Воно допоможе перевірити вашу Wi-Fi-мережу і розповість, чи надійно захищені підключення до неї пристрої.