Äskettäin sivustolla exploitee.rs ilmestyi artikkeli valvontavideokameran haavoittuvuudesta Samsung Smartcam, jonka seurauksena kolmannet osapuolet voivat muodostaa yhteyden laitteeseen ja suorittaa etänä omia komentojaan.
Samsung Smartcam on video-lastenvahti eli kamera, joka muodostaa yhteyden Wi-Fi-kotiverkkoon ja tablettisi, älypuhelimesi tai tietokoneesi toimii vanhempana. Voit katsella lastasi paitsi kotona, myös etänä mobiililaitteen Internetin avulla.
Lue myös: Samsung esittelee sähköautojen tehokkaimmat akut
Mielenkiintoista on, että haavoittuvuus löydettiin tutkimuksessa aiempien "aukkojen" poistamisen jälkeen, joiden avulla hyökkääjät saattoivat vaihtaa ohjelmakoodia tai järjestelmänvalvojan salasanaa. Suojaus toteutettiin yhdistämällä jokainen kamera SmartCloud-resurssiin, mutta valvontajärjestelmän paikallinen palvelin säilyi pääkäyttäjän oikeuksilla.
Jotenkin kameraohjelmistoon jäi useita rivejä käyttämätöntä koodia. Tämä on juuri se, mikä epäonnistui korealaiset kehittäjät. Unohtamalla poistaa useita php-tiedostoja, jotka ovat vastuussa kameran laiteohjelmiston päivityksestä iWatch-palvelun kautta, he tarjosivat viestintäkanavan palvelimen kanssa, jonka kautta hyökkääjät voivat saada osittaisen hallinnan laitteeseen.
Ammattilaisille on video, jossa on esimerkki haavoittuvuuden hyödyntämisestä.
Lähteet: Exploitee.rs, Turvalaboratorio