Nedávno na stránke exploitee.rs objavil sa článok o zraniteľnosti monitorovacej videokamery Samsung Smartcam, vďaka čomu sa tretie strany môžu pripojiť k zariadeniu a na diaľku na ňom vykonávať svoje vlastné príkazy.
Samsung Smartcam je video pestúnka, teda kamera, ktorá sa pripája k domácej Wi-Fi sieti a ako rodičovská jednotka funguje váš tablet, smartfón alebo počítač. Svoje dieťa môžete sledovať nielen doma, ale aj na diaľku pomocou internetu vo svojom mobilnom zariadení.
Prečítajte si tiež: Samsung predstavuje najefektívnejšie batérie pre elektromobily
Zaujímavosťou je, že na zraniteľnosť sa prišlo pri výskume po odstránení predchádzajúcich „dier“, pomocou ktorých mohli útočníci zmeniť kód programu či zmeniť heslo správcu. Ochrana bola implementovaná pripojením každej kamery k zdroju SmartCloud, ale lokálny server monitorovacieho systému zostal s právami superužívateľa.
V softvéri fotoaparátu zostalo niekoľko riadkov nepoužitého kódu. Práve toto sa nepodarilo kórejským vývojárom. Tým, že zabudli vymazať množstvo php súborov zodpovedných za aktualizáciu firmvéru fotoaparátu prostredníctvom služby iWatch, poskytli komunikačný kanál so serverom, prostredníctvom ktorého môžu útočníci získať čiastočnú kontrolu nad zariadením.
Pre profesionálov je tu video s ukážkou zneužitia zraniteľnosti.
Zdroje: Exploitee.rs, Securitylab