Recentemente sul sito sfruttatore.rs è apparso un articolo sulla vulnerabilità di una videocamera di sorveglianza Samsung Smartcam, grazie alla quale terze parti possono connettersi al dispositivo ed eseguire da remoto i propri comandi su di esso.

Samsung Smartcam è una video babysitter, ovvero una telecamera che si collega alla rete Wi-Fi domestica e il tuo tablet, smartphone o computer funge da unità genitore. Puoi guardare tuo figlio non solo a casa, ma anche da remoto, utilizzando Internet sul tuo dispositivo mobile.

È interessante notare che la vulnerabilità è stata scoperta durante la ricerca dopo l'eliminazione dei precedenti "buchi", tramite i quali gli aggressori potevano modificare il codice del programma o modificare la password dell'amministratore. La protezione è stata implementata collegando ciascuna telecamera alla risorsa SmartCloud, ma il server locale del sistema di sorveglianza è rimasto con i diritti di superutente.

In qualche modo sono rimaste diverse righe di codice inutilizzate nel software della fotocamera. Questo è esattamente ciò che ha fallito gli sviluppatori coreani. Dimenticando di eliminare una serie di file php responsabili dell'aggiornamento del firmware della fotocamera tramite il servizio iWatch, hanno fornito un canale di comunicazione con il server attraverso il quale gli aggressori possono ottenere il controllo parziale del dispositivo.

Per i professionisti è disponibile un video con un esempio di sfruttamento della vulnerabilità.