Специалисты компании SEC Consult описали цепочку, по которой к потребителям попадают уязвимые умные камеры. Исследование показало, что один китайский производитель несет ответственность за бреши в устройствах под множеством брендов и не предпринимает усилий для их устранения.

Обнаружить это удалось при расследовании скандала в Южной Каролине — молодая мать заметила, как за ней следит видеоняня, которая была прикреплена к кроватке ребенка. Устройством можно было управлять через мобильное приложение, в том числе повернуть камеру на 360 градусов. Именно внезапное движение и привлекло внимание женщины, которая впоследствии не смогла получить помощи ни от полиции, ни от вендора.

Эксперты установили, что одна и та же модель этого устройства предлагается на оптовых площадках под разными брендами. Реальным производителем оказалась китайская компания Shenzhen Gwelltimes Technology Co., Ltd. На ее инфраструктуре работает облачный сервис для управления видеоняней — пользователи подключаются к нему через мобильное приложение, используя заводской ID и пароль.

По словам аналитиков, в подобной схеме есть сразу несколько уязвимых мест. К примеру, производитель не обеспечивает должную защиту идентификаторов пользователя. Вместо того чтобы генерировать их случайным образом, компания использует последовательные номера. Это позволяет злоумышленникам автоматизировать взлом устройств, подставляя известные пароли ко всем ID по порядку.

Авторы исследования определили, что все камеры производства Gwelltimes используют для удаленного управления одно приложение — Yoosee. Счетчик загрузок на его странице в Google Play указывает более 1 млн скачиваний. Это же приложение упоминалось в прошлогоднем исследовании немецкой Security Research Labs, которое также было посвящено уязвимым интернет-камерам. Аналитики подробно описали атаку через подбор ID, однако даже спустя девять месяцев производитель не устранил проблему.

Авторы июньского исследования полагают, что взломщик камеры в Южной Каролине мог использовать информацию немецких экспертов как инструкцию по применению уязвимости. Они также подчеркивают, что устройства от неизвестного производителя на магазинных полках подрывают безопасность пользователей, о которой в последнее время часто говорят законодатели.

«Разумеется, ни сама камера, ни облачный сервис [управления] не соблюдают требования GDPR, — заключают они. — Получается, что неизвестная китайская компания разрабатывает небезопасные продукты и хранит наши приватные данные на своих серверах в Китае».

Чтобы защитить свое устройство от взлома, пользователям следует еще при первом включении сменить предустановленный пароль.

Специалисты по компьютерной безопасности уже много лет говорят о проблемах с продвинутыми детскими игрушками. Еще в 2015 году эксперты смогли превратить умную «Барби» в шпионское устройство, а затем провести через нее атаку на домашнюю сеть.

В тех случаях, когда производитель не предусматривает возможность WiFi-подключения, угроза может исходить от уязвимого Bluetooth-соединения. Оно позволяет взломщику манипулировать с контентом в памяти игрушки, в том числе загружать и запускать произвольные медиафайлы.

Категории: Уязвимости