Lajmet

Një dobësi kritike vë në rrezik përdoruesit e kamerës Samsung SmartCam

Jan 17 2017
0 Shpërndarje
Kamerat e njohura të sigurisë nga Samsung, SmartCam, përmbajnë një dobësi që lejon ekzekutimin nga jashtë të kodit. Kjo dobësi i jep një sulmuesi hyrje administrative dhe kontroll të plotë mbi kamerën. Një dobësi kritike vë në rrezik përdoruesit e kamerës Samsung SmartCam

Dobësia u zbulua nga hulumtuesit e grupit Exploiteers (më parë të njohur si GTVHacker), të cilët kanë gjetur dobësi në pajisjet SmartCam të Samsung edhe më parë. E meta lejon që të ekzekutohen komanda me anë të një skripti rrjeti, edhe pse prodhuesi e ka çaktivizuar ndërfaqen lokale të bazuar në ueb për menaxhim, në këto pajisje.

Samsung SmartCam janë një seri kamerash sigurie me një rrjet cloud që u zhvilluan nga Samsung Techwin. Samsung e shiti këtë divizion tek konglomerati nga Korea e Jugut, Hanwha Group, në 2015 dhe kompania u riemërua në Hanwha Techwin.

Si zgjidhje për shumë dobësi që u gjetën, në ndërfaqen e bazuar në ueb të menaxhimit, të modelet SmartCam përgjatë viteve të kaluara, Hanwha Techwin vendosi që ta çaktivizonte panelin e administrimit lokal. Përdoruesin mund të hyjnë në kamerat e tyre vetëm me anë të aplikacionin në telefonin e mençur ose shërbimit cloud, My SmartCam.

Exploiteers analizuan modelin Samsung SmartCam SNH-1011 dhe vunë re se ndërkohë që nuk ishte më e mundur të hyhej në ndërfaqen e uebit me anë të rrjetit lokal, serveri ueb ishte ende në funksion në pajisje dhe kishte disa skripte PHP të lidhur me sistemin e monitorimit të quajtur iWatch. Një nga këto skripte lejonte përdoruesit që të përditësonin softuerin iWatch duke ngarkuar një skedar, por dobësia buronte nga kontrolli i pasaktë i emrit të skedarit. Kjo e metë mund të shfrytëzohet nga sulmues të paautorizuar dhe të injektojë komanda shell që do të ekzekutohen në një server ueb me privilegje administratori.

E meta u gjend në modelin SNH-1011, por hulumtuesit besojnë se prek të gjithë seritë e Samsung SmartCam.

E meta mund të shfrytëzohet për të aktivizuar ndërfaqen ueb të menaxhimit, heqja e të cilës u kritikua nga shumë përdorues. Exploiteers publikuan një provë të konceptit, duke shfrytëzuar këtë të metë dhe arritën ta aktivizonin. Ato gjithashtu dhanë instruksione se si të arnohet manualisht kjo e metë. Aktivizimi i kësaj ndërfaqeje gjithashtu aktivizon disa dobësi të tjera që prodhuesi i kishte mbyllur me çaktivizimin e ndërfaqes. (PCWorld Albanian)

Lajmet e fundit>