Falhas em monitores de bebê IoT podem dar acesso a hacker a feeds de câmera

39

Clientes devem ‘parar de usar dispositivos completamente’, dizem pesquisadores

Várias vulnerabilidades de zero-day em um monitor de bebê doméstico podem ser exploradas para permitir que hackers acessem o feed da câmera e plantem códigos não autorizados, como malware.

As falhas de segurança nos dispositivos IoT, que são fabricados pelo fornecedor chinês Victure, foram descobertas por pesquisadores da Bitdefender.

Em um aviso de segurança (PDF), o Bitfender detalhou como uma vulnerabilidade de estouro de buffer baseada em pilha no componente do servidor ONVIF da câmera inteligente PC420 da Victure permitiu que um invasor executasse código remoto no dispositivo de destino.

Se explorado, um invasor poderia descobrir câmeras que eles não possuem, instruir essas câmeras a transmitir seus feeds para terceiros não autorizados e comprometer o firmware da câmera.

“Embora não possamos imaginar todos os cenários, estimamos conservadoramente que um hacker determinado poderia usar essas vulnerabilidades para espionar os proprietários de câmeras em suas casas constantemente, ou permitir que outros se envolvam em tal atividade”, disse Bogdan Botezatu, diretor de pesquisa e reportagem de ameaças da Bitdefender, ao The Daily Swig.

Botezatu alertou: “A câmera e a plataforma em nuvem são escolhas extremamente populares entre os usuários de IoT e estimamos que cerca de quatro milhões de câmeras implantadas em todo o mundo são afetadas por esse problema.”

Este problema afeta as versões de firmware Victure PC420 1.2.2 e anteriores.

Silêncio do fornecedor

Publicações Relacionadas

A Bitdefender divulgou detalhes das vulnerabilidades depois de tentar entrar em contato com a Victure para relatar suas descobertas por um ano, disse Botezatu.

Ele disse ao Daily Swig: “Fizemos várias tentativas de entrar em contato com o fornecedor para oferecer nossa experiência em corrigir esses problemas, mas sem sucesso.

“Decidimos publicar a pesquisa para pelo menos avisar os usuários que eles estão possivelmente sacrificando sua privacidade a cada minuto que mantêm este dispositivo conectado à sua rede.”

Segurança supera ponto de preço

Os usuários preocupados devem “parar de usar esses dispositivos completamente”, aconselhou o pesquisador, acrescentando que os pais devem priorizar a segurança sobre o custo de um dispositivo.

Botezatu explicou: “Ao escolher um monitor de bebê, o aspecto de segurança deve superar características ou ponto de preço.

“Isso ocorre porque vulnerabilidades semelhantes têm sido usadas no passado por atores de ameaças para se comunicar diretamente com as crianças, expondo-as a interações com adultos fora do círculo de confiança da família.

“Estamos alertando sobre os perigos de equipamentos de vídeo vulneráveis há anos e iniciamos esse projeto de pesquisa de vulnerabilidade para ajudar os pais a proteger sua privacidade, bem como a de seus filhos.”

O pesquisador acrescentou: “Às vezes, os vendedores optam por ignorar esses buracos escancarados e deixar os clientes expostos.

“Decidimos publicar nossas descobertas porque queremos que os clientes potencialmente afetados estejam cientes dos riscos que enfrentam ao usar tais produtos e deixá-los decidir se é aceitável ou não.”

você pode gostar também