Печально, но безопасность умных устройств никак не успевает за их популярностью. Cегодняшний пост посвящен очередной находке наших специалистов умной камере, в которой уязвимостей оказалось едва ли не больше, чем функций в руководстве пользователя.
Серьезно, список обнаруженных уязвимостей включает целых 13 пунктов. Давайте попробуем разобраться, что это может означать на практике для владельца такой камеры.
Речь в исследовании идет о модели Hanwha SNH-6410PN которую прлизводит Tachwin, бывшая дочерняя компания Samsung. Несмотря на то, что она пару лет назад сменила владельца, до 2017 года камеры продолжали выпускаться под брендом Samsung, и их до сих пор можно встретить в магазинах в том числе и в России.
Камеру предлагают покупателям как универсальное средство мониторинга и для детской, и для квартиры в целом, и для
небольшого офиса. Устройство умеет видеть в темноте, поворачиваться вслед за движущимся объектом, передавать картинку на смартфон или планшет, а также воспроизводить звук через встроенный динамик.
Вся работа с камерой происходит через облачный сервис, к которому можно подключиться с компьютера или мобильного устройства. Как обнаружили эксперты Центра промышленной безопасности, из-за обилия уязвимостей команды устройству может отправить не только его хозяин. И в результате взломщику открывается широкий спектр возможностей.
Ограбление, как в кино.
Например, можно подменять изображение, которое получает пользователь. Совсем как в фильмах-боевиках, где злодеи или герои отправляют охране изображение недельной давности, а сами тем временем проникают на охраняемый объект. Только сейчас это может сделать не киногерой, а вполне реальные злоумышленники, решившие обчистить квартиру, дачу или офис, находящиеся под защитой умной камеры.
Провести разведку перед тем, как отправиться на дело, потенциальным преступникам поможет та же самая
взломанная камера.
В процессе исследования эксперты смогли и перехват видео, и подслушатъ звук, и достать геолокационные данные.
Это значит, что злоумышленник сможет узнать, где находится конкретное устройство, которое он взломал, потом исследовать привычки жильцов или сотрудников и спланировать проникновение. И для этого ему даже не придется вставать с кресла все делается удаленно, через Интернет.
Шпион, выйди вон.
Даже если не рассматривать настолько драматические сценарии, как ограбление, есть куча других возможностей, которыми может воспользоваться хакер. Например, как и многие другие умные устройства, камера умеет обмениваться данными с социальными сетями и интернет-сервисами так ее владелец получает уведомления о разных событиях в зоне наблюдения.
Взломав камеру, злоумышленник сможет не только узнать логины и пароли от аккаунтов, но и рассылать с опасного устройства спам или фишинговые сообщения вашим друзьям.
А чтобы замести следы - или просто из страсти к разрушению - камеры можно и
вовсе вывести из строя,причем даже без возможности восстановления.
Про очевидные вещи вроде возможности наблюдать за личной жизнью жильцов квартиры, оборудованной смарт-камерой и говорить нечего. Хакеры развлекаются подобными играми регулярно.
А еще камера умеет воспроизводить звук через встроенный динамик. Представьте, что будет, если видео-няня вдруг скажет вашему чаду, что в подъезде его ждет подарок просто открой дверь и забери. А это только один из возможных вариантов...
Зомби наступают.
Пару лет назад мир познакомился с возможностями IoT-ботнетов тысячи смарт-устройств обрушили несколько крупных интернет-сервисов. Эта угроза актуальна и для умных камер Hanwha. Взломав сотни или тысячи камер, киберпреступники могут отправить их в DDoS - акуили «загнать в криптошахту», чтобы майнить криптовалюту. Или отправить заражать соседние устройства, связанные с ними одной сетью.
Мрачное будущее?
Кстати, помимо домашне-офисных камер компания Hanwha производит и промышленные системы видеонаблюдения. Еще в портфолио этого производителя есть такие любопытные вещи, как самоходные артиллерийские установки и автономные пулеметные турели. Надеемся, что безопасность при разработке программного обеспечения для этих устройств стоит на первом месте.
Автономная пулеметная турель Samsung Tachwin SGR-A1
Обо всех проблемах, обнаруженных исследователями в прошивке камеры Hanwha SNH-V6410PN и облачном сервисе, через который она управляется, сообщили производителю, и компания уже устранила большинство уязвимостей.
А пока производители умных устройств в целом не взялись за ум и не стали относиться к защите своих продуктов в разы серьезнее еще на самых первых этапах разработки, мы советуем вам самим позаботиться о своей безопасности.
Прежде чем покупать умное устройство например, видео-няню с управлением через смартфон, задумайтесь, так ли оно вам нужно. Если все-таки нужно проверьте, нет ли в Интернете информации о его взломе и незакрытых уязвимостях.
