Недавно на сайте exploitee.rs появилась статья об уязвимости видеокамеры для наблюдения Samsung Smartcam, в результате которой сторонние лица способны подключиться к устройству и удаленно выполнять на нем собственные команды.
Samsung Smartcam — видео-няня, представляющая из себя камеру, которая подключается к домашней сети Wi-Fi, а родительским блоком выступает ваш планшет, смартфон или компьютер. Наблюдать за ребенком можно не только дома, но и удаленно, используя интернет в вашем мобильном устройстве.
Читайте также: Samsung представляет самые эффективные аккумуляторы для электрокаров
Любопытно, что уязвимость была обнаружена во время исследований после устранения предыдущих “дыр”, воспользовавшись которыми злоумышленники могли изменить программный код или сменить пароль администратора. Защиту осуществили путём подключения каждой камеры к ресурсу SmartCloud, однако локальный сервер системы наблюдения остался с правами суперпользователя.
Каким-то образом в ПО камеры осталось несколько строк неиспользуемого кода. Именно это и подвело корейских разработчиков. Забыв удалить ряд php-файлов, отвечающих за обновление прошивки камеры через сервис iWatch, они обеспечили канал связи к сервером, через который злоумышленники могут получить частичный контроль над устройством.
Для профессионалов есть видео с примером эксплуатации уязвимости.
Источник: Exploitee.rs, Securitylab