Malawakang ginagamit na mga wireless IP camera na nakabukas sa pag-hijack sa Internet, sinasabi ng mga mananaliksik

Libu-libong mga wireless na IP camera na nakakonekta sa Internet ay may malubhang mga kahinaan sa seguridad na nagpapahintulot sa mga attacker na i-hijack sila at baguhin ang kanilang firmware ayon sa dalawang mga mananaliksik mula sa security firm Qualys.

Ang mga camera ay ibinebenta sa ilalim ng tatak ng Foscam sa US, ngunit ang parehong mga aparato ay matatagpuan sa Europa at sa ibang lugar na may iba't ibang branding, sinabi ng mga mananaliksik ng Qualys na si Sergey Shekyan at Artem Harutyunyan, na sinuri ang seguridad ng mga aparato at naka-iskedyul na ipakilala ang kanilang mga natuklasan sa Hack sa kahon ng Conference Box sa Amsterdam sa Huwebes.

Mga Tutorial Provid Ang ed ng camera vendor ay naglalaman ng mga tagubilin kung paano gawing naa-access ang mga device mula sa Internet sa pamamagitan ng pag-set up ng port-forwarding rules sa routers. Dahil dito, maraming mga kagamitang tulad nito ay nakalantad sa Internet at maaaring maatake sa malayo, sinabi ng mga mananaliksik.

[Karagdagang pagbabasa: Paano tanggalin ang malware mula sa iyong Windows PC]

Ang paghahanap ng mga camera ay madali at maaaring gawin sa maraming paraan. Ang isang paraan ay nagsasangkot ng paggamit ng search engine ng Shodan upang maghanap ng isang tukoy na HTTP header sa mga interface ng user na batay sa Web ng mga camera. Ang naturang query ay magbabalik ng higit sa 100,000 na mga aparato, sinabi ng mga mananaliksik.

Ang mga vendor na nagbebenta ng mga camera na ito ay naka-configure din na gamitin ang kanilang sariling mga dynamic DNS service. Halimbawa, ang Foscam camera ay nakatalaga ng isang hostname ng uri [dalawang titik at apat na digit]. Myfoscam.org. Sa pamamagitan ng pag-scan sa buong * myfoscam.org space space, ang isang magsasalakay ay makikilala ang karamihan sa mga kamera ng Foscam na konektado sa Internet, sinabi ng mga mananaliksik.

Sa paligid ng dalawa sa bawat 10 camera, pinapayagan ang mga user na mag-log in gamit ang default na "admin" at walang password, sinabi ng mga mananaliksik. Para sa iba pang mga password na naka-configure ng user, may iba pang mga paraan upang masira.

Mga paraan ng pag-atake

Ang isang paraan ay upang pagsamantalahan ang kamakailang natuklasang kahinaan sa interface ng web ng camera na nagbibigay-daan sa mga remote attackers upang makakuha ng isang snapshot ng memory ng device.

Ang memory dump na ito ay naglalaman ng administrator ng user name at password sa malinaw na teksto kasama ang iba pang sensitibong impormasyon tulad ng mga kredensyal ng Wi-Fi o mga detalye tungkol sa mga device sa lokal na network, sinabi ng mga mananaliksik.

Kahit na ang vendor ay may patched na ito kahinaan sa pinakabagong firmware, 99 porsiyento ng Foscam camera sa Internet ay tumatakbo pa rin mas lumang mga bersyon ng firmware at ay maaaring masugatan, sinabi nila. Mayroon ding isang paraan upang pagsamantalahan ang kahinaan na ito kahit na naka-install ang pinakabagong firmware kung mayroon kang mga kredensyal sa antas ng operator para sa camera.

Ang isa pang paraan ay upang pagsamantalahan ang isang kapintasan ng kahilingan sa paghahanap ng cross-site (CSRF) sa interface sa pamamagitan ng pag-trick sa administrator ng camera upang buksan ang partikular na ginawa na link. Maaari itong magamit upang magdagdag ng pangalawang administrator account sa camera.

Ang isang ikatlong paraan ay upang magsagawa ng isang atake ng malupit na puwersa upang hulaan ang password, dahil ang camera ay walang proteksyon laban sa ito at ang mga password ay limitado sa 12

Kapag ang isang magsasalakay ay nakakakuha ng access sa isang kamera, maaari niyang malaman ang bersyon ng firmware nito, i-download ang isang kopya mula sa Internet, i-unpack ito, idagdag ang pusong code dito at isulat ito pabalik sa device.

Ang firmware ay batay sa uClinux, isang operating system na nakabatay sa Linux para sa naka-embed na mga aparato, kaya technically ang mga camera na ito ay mga machine ng Linux na konektado sa Internet. Ang ibig sabihin nito ay maaari silang magpatakbo ng di-makatwirang software tulad ng isang botnet client, isang proxy o isang scanner, sinabi ng mga mananaliksik.

Dahil ang mga camera ay konektado rin sa lokal na network, maaari silang magamit upang matukoy at malayuang pag-atake ang mga lokal na device na hindi ' kung hindi man ay mapupuntahan mula sa Internet, sinabi nila.

Mayroong ilang mga limitasyon sa kung ano ang maaaring tumakbo sa mga aparatong ito dahil mayroon lamang sila ng 16MB ng RAM at isang mabagal na CPU at karamihan sa mga mapagkukunan ay ginagamit na ng mga default na proseso nito. Gayunman, inilarawan ng mga mananaliksik ang ilang praktikal na pag-atake Ang isa sa mga ito ay nagsasangkot ng paglikha ng isang nakatagong backdoor administrator account na hindi nakalista sa interface ng Web.

Ang ikalawang pag-atake ay nagsasangkot ng pagbabago ng firmware upang magpatakbo ng isang proxy server sa port 80 sa halip ng interface ng Web. Ang proxy na ito ay mai-set up upang kumilos nang naiiba depende sa kung sino ang kumonekta dito.

Halimbawa, kung ang administrator ay nag-access sa camera sa port 80 ang proxy ay ipapakita ang regular na interface ng Web dahil ang administrator ay hindi ma-configure ang kanyang browser gamitin ang IP address ng camera bilang isang proxy. Gayunpaman, ang isang magsasalakay na nakikipag-configure sa kanilang browser sa paraang ito ay magkakaroon ng koneksyon sa tunnel sa pamamagitan ng proxy.

Ang isang pangyayari sa ikatlong pag-atake ay kinabibilangan ng pagkalason sa Web interface upang mag-load ng isang remote na naka-host na piraso ng JavaScript code. Ang mga mananaliksik ay naglabas ng isang open-source na tool na tinatawag na "getmecamtool" na maaaring magamit upang i-automate ang karamihan ng mga pag-atake na ito, kabilang ang pag-injecting executable file sa firmware o patching ang interface ng Web.

Ang tanging bagay na hindi ginagamit ng tool ay ang pag-atake ng bypass sa pagpapatotoo, sinabi ng mga mananaliksik. Ang tool ay nangangailangan ng wastong mga kredensyal sa pag-log-in na gagamitin para sa naka-target na camera, isang sukat na kinuha ng mga mananaliksik upang limitahan ang pang-aabuso nito.

Ang mga camera ay madaling kapansanan sa denial-of-service na pag-atake dahil maaari lamang nilang mahawakan ang 80 concurrent HTTP mga koneksyon. Halimbawa, maaaring magamit ang gayong pag-atake, upang hindi paganahin ang camera habang nagsasagawa ng isang pagnanakaw, sinabi ng mga mananaliksik.

Ang pinakamagandang bagay ay para sa mga camera na ito ay hindi malantad sa Internet, sinabi ng mga mananaliksik. Gayunpaman, kung kailangan ito, dapat na deployed ang mga camera sa likod ng mga firewall o mga sistema ng pag-iwas sa panghihimasok na may mahigpit na mga panuntunan.

Ang access sa mga ito ay dapat lamang pahihintulutan mula sa isang limitadong bilang ng mga pinagkakatiwalaang mga IP address at ang maximum na bilang ng mga kasabay na koneksyon ay dapat tinutulak sila, sinabi nila. Ang paghihiwalay ng mga camera mula sa lokal na network ay isang magandang ideya din, upang maiwasan ang mga ito na abusuhin na atakein ang mga lokal na device.

Kung interesado ka sa pag-deploy ng high-definition IP camera na hindi kilala na madaling kapitan sa hack na ito, mayroon kaming mga review ng tatlong bagong mga modelo.