Οι ερευνητές της Tenable Security ανακάλυψαν διάφορες ευπάθειες σε προϊόντα της Amazon, τις οποίες δημοσίευσαν τον Αύγουστο. Οι ευπάθειες εντοπίζονται κυρίως στις οικιακές κάμερες ασφαλείας Blink XT2 και σύμφωνα με τους ερευνητές επιτρέπουν σε hackers να παραβιάσουν τις κάμερες.
Τώρα, η Amazon κυκλοφορεί ενημερώσεις για τη διόρθωση των σφαλμάτων.
Σύμφωνα με την Tenable Security, όλοι οι χρήστες της κάμερας Blink XT2 θα πρέπει να ελέγξουν ότι το firmware τους είναι ενημερωμένο στην έκδοση 2.13.11 ή σε κάποια νεότερη.
Οι ευπάθειες σχετίζονται με το Sync Module της κάμερας, μια επιπλέον συσκευή δικτύου που λειτουργεί ως κόμβος μεταξύ της κάμερας και του cloud. Αυτό το Module επιτρέπει στους χρήστες να διαχωρίσουν το σπίτι σε ζώνες. Επομένως, οι χρήστες μπορούν να ελέγχουν τις κάμερες που βλέπουν μέσα και έξω από το σπίτι και να τις ρυθμίζουν σε διαφορετικές χρονικές στιγμές.
Ωστόσο, οι ευπάθειες στο Sync Module μπορούν να επιτρέψουν σε έναν επιτιθέμενο να παραβιάσει το λογαριασμό του χρήστη και τις συνδεδεμένες κάμερες. Αυτό σημαίνει ότι ο επιτιθέμενος μπορεί να ελέγχει την κάμερα, να την απενεργοποιεί, να βλέπει αποθηκευμένο περιεχόμενο (βίντεο και φωτογραφίες) κ.ά.
Οι command-injection ευπάθειες στο Sync Module εντοπίστηκαν στις cloud συσκευές επικοινωνίας για την παροχή ενημερώσεων ή τη λήψη πληροφοριών δικτύου.
“Όταν γίνεται έλεγχος για ενημερώσεις, η συσκευή αποκτά πρώτα από το web ένα update helper script (sm_update) και μετά τρέχει αμέσως το περιεχόμενο αυτού του script με zero sanitation”, εξήγησε ο James Sebree, ερευνητής της Tenable.
Ένας hacker θα μπορούσε να εκμεταλλευτεί αυτό το ζήτημα για να πραγματοποιήσει μια man-in-the-middle επίθεση (MitM).
Οι ερευνητές ανακάλυψαν, επίσης, μια άλλη ευπάθεια στις κάμερες της Amazon, που απαιτεί φυσική πρόσβαση στη συσκευή. Αυτή η ευπάθεια δεν αποτελεί σοβαρή απειλή για τους χρήστες.
“Το πιο προφανές σενάριο επίθεσης γι’ αυτό το σφάλμα θα ήταν κάποια εσωτερική απειλή- babysitters, petsitters, προσωπικό καθαρισμού ή οποιοσδήποτε που έχει πρόσβαση στο σπίτι σας”, σημείωσε ο Sebree.
Όλοι οι χρήστες θα πρέπει να ενημερώσουν τις κάμερες Blink. Ωστόσο, ο Sebree είπε ότι ο εντοπισμός των συσκευών, που έχουν ήδη παραβιαστεί, είναι αρκετά δύσκολη διαδικασία.
