A modern okos kamerák számtalan speciális funkcióval rendelkeznek, amelyek a felhasználók kényelmét szolgálják: fejlett babamonitornak vagy felügyeleti rendszernek használhatjuk, amely jelzi a nem kívánt betolakodókat, amikor távol vagyunk otthonunktól, irodánktól. Vajon ezek a kamerák biztonságosak? Legutóbb például egy olyan gyártó okoskameráiról derült ki, hogy könnyen sebezhetőek, melyek babamonitorként funkcionálnak, és sajnos erről az átlagos felhasználó egy pillanatra sem gondolná, hogy veszélyt jelent.
Független biztonsági kutatók korábbi elemzései is megerősítik, hogy az okos kamerák különböző szintű biztonsági résekkel bírnak. Hasonló eredményre jutottak a Kaspersky Labnál is, ahol egészen rendkívüli dolgot észleltek: nemcsak egy, hanem rengeteg okos kameránál olyan súlyos sérülékenységeket találtak, amelyek lehetővé teszik a távolról kezdeményezett súlyos kibertámadásokat. Ez köszönhető a gyenge felhőalapú rendszernek, amelynek elsősorban a célja, hogy a felhasználók bárhonnan hozzáférhessenek a felhőbe feltöltött videóikhoz.
A biztonsági rések kihasználásával a bűnözők az alábbi támadásokat hajthatják végre:
- hozzáférésük van minden olyan készülék által rögzített audio és/vagy videó felvételhez, amelyek csatlakoztak a sérülékeny felhő szolgáltatáshoz,
- távolról elérhető a kamera root állománya, amely belépő pontként működhet más támadásokhoz, akár a helyi vagy egy külső hálózaton
- távolról feltölthetnek és elindíthatnak egy rosszindulatú kódot,
- minden személyes információt ellophatnak, például közösségi oldalak fiókjaihoz tartozó információkat
- távolról blokkolhatják a kamerákat.
Ezeket a támadásokat azért van lehetőség végrehajtani, mivel a felhőszolgáltatás és a kamera közötti kommunikáció nem biztonságos és könnyen megzavarható, továbbá maga a felhőszolgáltatás felépítése is könnyen sebezhető általában az ilyen esetekben. Fontos megjegyezni, hogy az előbb említett támadásokat csak úgy indíthatták el a támadók, hogy ismerték az adott kamera sorozatszámát, ugyanakkor a sorozatszám generálása is relatív egyszerű módszerrel készült, ezért viszonylag könnyű volt azokat brute-force támadással megszerezni.
A Kaspersky összesen 2.000 olyan online kamerát
azonosított, amelyek sérülékenyek, és ezek még csupán azok az eszközök, amelyek saját IP címmel rendelkeznek, és így közvetlenül elérhetőek interneten, míg a sérülékeny eszközök valós száma ennél jóval nagyobb lehet. Továbbá a szakértők találtak egy nem dokumentált funkciót is, amelyet a gyártó egy végső tesztelésre használhatott, de a kiberbűnözők gyorsan megtalálták ezt a rejtett opciót, és félrevezető jeleket küldtek vele a kamerának, vagy módosítottak egy már elküldött parancson. Érdemes tudni, hogy a gyártó időközben megszüntette ezt a funkciót.
A veszély tehát továbbra is fennáll, hogy a legkevésbé ártalmasnak tűnő eszközeinken jussanak be hozzánk illetéktelenek, és amíg maguk a gyártók adnak kulcsot az otthonunkhoz, addig fokozottan elővigyázatosnak kell lennünk.
(cikkünk képei természetesen csupán illusztrációk, azt nem tudhatjuk, hogy épp ezek a cukimuki babakamerák, vagy a többi IP-kamera épp mennyire védett)
