Нещодавно на сайті exploitee.rs з’явилася стаття про уразливість відеокамери для спостереження Samsung Smartcam, в результаті якої сторонні особи можуть підключитися до пристрою і віддалено виконувати на ньому власні команди.
Samsung Smartcam – відео-няня, тобто камера, яка підключається до домашньої мережі Wi-Fi, а батьківським блоком виступає ваш планшет, смартфон або комп’ютер. Спостерігати за дитиною можна не тільки вдома, а й віддалено, використовуючи інтернет у вашому мобільному пристрої.
Читайте також: Samsung представляє найефективніші акумулятори для електрокарів
Цікаво, що вразливість була виявлена під час досліджень після усунення попередніх “дірок”, скориставшись якими зловмисники могли змінити програмний код або змінити пароль адміністратора. Захист здійснили шляхом підключення кожної камери до ресурсу SmartCloud, проте локальний сервер системи спостереження залишився з правами суперкористувача.
Якимось чином в ПО камери залишилося кілька рядків невикористаного коду. Саме це і підвело корейських розробників. Забувши видалити ряд php-файлів, що відповідають за оновлення прошивки камери через сервіс iWatch, вони забезпечили канал зв’язку з сервером, через який зловмисники можуть отримати частковий контроль над пристроєм.
Для професіоналів є відео з прикладом експлуатації уразливості.
Джерела: Exploitee.rs, Securitylab