متفاوت ترین مجله اینترنتی ...

هک دوربین‌های امنیتی سامسونگ فوق‌العاده آسان است

12345 (بدون نظر)
Loading...
0

بعد از حملات تکذیب سرویس East Coast در سال گذشته، بالاخره شاهد این هستیم که کاربران تولیدکنندگان ابزارهای متصل به اینترنت را مجبور کرده‌اند که فکری به حال امنیت محصولات کنند. بعد از انتشار اخبار در چین، پژوهشگران امنیتی هم اکنون متوجه شده‌اند که دوربین‌های هوشمند سامسونگ هم در برابر حملات آسیب‌پذیرند.

گویا آی تی – این آسیب‌پذیری‌ها به هکرها اجازه می‌دهند کنترل کامل دوربین‌ها را به دست بگیرند؛ به این معنی که خرابکاران سایبری قادر به مشاهده‌ی راحت فیدهای ویدئوهای خصوصی کاربران خواهند بود. البته این اولین بار نیست که پژوهشگران موفق به کشف آسیب‌پذیرهای مختلف در رابط کاربری تحت وب دوربین‌های هوشمند سامسونگ شده‌اند. این گروه قبلا نشان داده‌اند که چگونه می‌توان با نفوذ به رابط کاربری تحت وب دوربین‌ها، اقدام به تغییر رمزعبور حساب کاربری مدیر سیستم کرد.
سامسونگ در پاسخ به این اتفاقات گام‌هایی برای حذف دسترسی به رابط کاربری تحت وب دوربین‌ها انجام داد. هر چند این کار موجب شد دسترسی کاربران به رابط تحت وب به طور کامل حذف شود و آنها مجبور شدند برای مدیریت ابزارهایشان با استفاده از یک تلفن‌همراه هوشمند به وب‌سایت SmartCloud سامسونگ متصل شوند. البته طبیعتا کسانی که با مدیریت تحت وب دوربین‌های هوشمند راحت‌تر بودند از این تغییر رویه استقبال نکردند.

وجود آسیب‌پذیری حساس، اجازه کنترل دوربین‌های SmartCam را به هکرها می‌دهد.
تیم پژوهشگران امنیتی در مورد اتفاقی که برای دوربین‌های سامسونگ افتاده این طور می‌نویسید:
”ما تصمیم گرفتیم یک بار دیگر ابزار را بازبینی کنیم تا امکان دسترسی مجدد کاربران به دوربین‌ها را بررسی کرده و در عین حال امنیت فیرمویر جدید ابزارها را نیز آزمایش کنیم.“
اگر چه سامسونگ کلیه داده‌ها‌ی رابط کاربری تحت وب را (در پاسخ به تشخیص آسیب پذیرهای قبلی) حذف کرده است، اما کاری به کار فایل‌هایی که امکان به‌روزرسانی فیرمویر دوربین از طریق سرویس مانیتورنیگ وب‌کم به نام iWatch را فراهم می‌کنند، نداشته است. جزئیات این باگ نرم‌افزاری به شرح زیر است:
”این اسکریپت‌ها دارای یک باگ تزریق فرمان بودند که از طریق آن امکان اجرای فرمان دسترسی راه‌دور به مدیر سیستم برای کاربری که فاقد مجوز لازم بود، فراهم می‌شد. آسیب‌پذیری فایل Install.php سرویس iWatch از طریق انتخاب یک نام خاص برای فایل که درون یک فرمان tar که به قسمت php system ارسال می‌شود، انجام می‌شود. از آن جایی که وب‌سرور تحت حساب مدیر اجرا می‌شود، نام فایل از سوی کاربر انتخاب می‌شود، و ورودی بدون پاک‌سازی استفاده می‌شود، ما برای اجرای فرمان‌ها از راه دور و با استفاده از حساب مدیر قادر به تزریق فرمان‌های دلخواه بودیم.“

سامسونگ اعلام کرده که این آسیب‌پذیری iWatch تنها روی دوربین‌های مدل SNH-1011 تاثیر منفی داشته و این مشکل در به‌روزرسانی بعدی مرتفع خواهد شد. تیم تحقیقاتی جزئیات فنی بیشتری از این مساله را در این آدرس منتشر کرده و ضمنا راهکارهای برای حل این آسیب‌پذیری هم ارائه کرده است. با استفاده از دستورالعمل‌های آنها می‌توانید به پنل مدیریت تحت وب دوربین‌های سری SmartCam سامسونگ دسترسی پیدا کنید. اما بهتر است منتظر عرضه به‌روزرسانی رسمی سامسونگ باشید.

ممکن است به این مطالب نیز علاقمند باشید

ارسال یک پاسخ

آدرس ایمیل شما منتشر نخواهد شد.

بعد از حملات تکذیب سرویس East Coast در سال گذشته، بالاخره شاهد این هستیم که کاربران تولیدکنندگان ابزارهای متصل به اینترنت را مجبور کرده‌اند که […]