Nedávno na webu exploitee.rs objevil se článek o zranitelnosti bezpečnostní kamery Samsung Smartcam, díky čemuž se třetí strany mohou připojit k zařízení a vzdáleně na něm provádět své vlastní příkazy.
Samsung Smartcam je video chůvička, tedy kamera, která se připojí k domácí Wi-Fi síti a jako rodičovská jednotka funguje váš tablet, smartphone nebo počítač. Své dítě můžete sledovat nejen doma, ale i na dálku pomocí internetu ve svém mobilním zařízení.
Přečtěte si také: Samsung představuje nejúčinnější baterie pro elektromobily
Zajímavostí je, že zranitelnost byla objevena při výzkumu po odstranění předchozích „děr“, pomocí kterých mohli útočníci změnit kód programu nebo změnit heslo administrátora. Ochrana byla implementována připojením každé kamery ke zdroji SmartCloud, ale místní server dohledového systému zůstal s právy superuživatele.
Nějakým způsobem zůstalo v softwaru fotoaparátu několik řádků nepoužitého kódu. Právě to se korejským vývojářům nepovedlo. Tím, že zapomněli smazat řadu php souborů zodpovědných za aktualizaci firmwaru fotoaparátu prostřednictvím služby iWatch, poskytli komunikační kanál se serverem, jehož prostřednictvím mohou útočníci získat částečnou kontrolu nad zařízením.
Pro profesionály je tu video s ukázkou zneužití zranitelnosti.
Prameny: Exploitee.rs, Securitylab