2017/08/05

Câmaras IP com passwords pré-definidas deixam utilizadores em risco


As câmaras IP são uma proposta tentadora para vermos o que se passa em nossa a qualquer momento, mas também se podem tornar em verdadeiras portas abertas que podem ser usadas por hackers ou meros curiosos, para espiarem as pessoas sem o seu conhecimento.

Que muitas câmaras IP são vulneráveis a ataque, isso já se sabe há muito tempo: a botnet Mirai infectava câmaras e gravadores para criar uma rede de ataque, com centenas de milhares de equipamentos, ao serviço dos atacantes. Mas desta vez a vulnerabilidade recai mais especificamente sobre um popular fabricante de câmaras IP, a Foscam.

Investigadores da F-Secure descobriram quase duas dezenas de vulnerabilidades na câmara Foscam C2, sendo que a mais grave será o facto da empresa usar passwords pré-definidas no firmware, que permitem a um atacante ter acesso ao sistema mesmo que o utilizador tenha tido o cuidado de mudar a password de origem.


O caso torna-se ainda mais grave por diversos motivos; pois não só a Foscam não resolveu o assunto, mesmo tendo tido meses de tolerância para o fazer após ter sido avisada; como o problema alastra-se a mais de uma dezena de outras câmaras de outras marcas que utilizam internamente o hardware da Foscam. Por isso, câmaras de marcas como a Opticam, Chacon, 7links, Netis, Turbox, Thomson, Novodio, Nexxt, Ambientcam, Technaxx, Qcam, Ivue, Ebode e Sab estarão igualmente em risco.

Já era tempo de surgir um sistema open-source (ao estilo Android) dedicado exclusivamente a câmaras IP, que desse garantias aos utilizadores de não conter vulnerabilidades flagrantes como estas que foram encontradas... Pelo menos, sempre serviria como firmware alternativo para quem não quisesse ficar dependente do "que quer que seja" que um fabricante metesse nas suas câmaras.


Actualização: a Foscam diz já ter resolvido as vulnerabilidades.

7 comentários:

  1. A camera da Wanscam que falaste num outro post usa autenticação Admin/Admin.
    Ainda nao confirmei na FW se tenta ir a internet, mas nas configurações não vem configurado para o fazer!
    A grande falha é mesmo no software, na app só aceita a pass Wifi com 20 caracteres (números e letras), qualquer pessoa na rede consegue ver a camera sem qualquer autenticação!!!
    É claro que isto tudo dá pra alterar, mas o utilizador normal não o sabe fazer nem sabe que te de o fazer!!!

    ResponderEliminar
  2. Anónimo6/8/17 14:09

    Duvido que as empresas chinesas possam produzir câmaras para o público e empresas sem vulnerabilidades de segurança, acho que o governo chinês não o permitirá, por isso quem quiser câmaras IP seguras não pode comprar produtos desenhados ou fabricados por empresas Chinesas.
    De todas as que por aí existem apenas a Smartfrog IP Cam parece ter sido aprovada por alguém credível (https://www.iot-tests.org/2017/03/first-certified-ip-camera-smartfrog/) e ainda nem está à venda.

    ResponderEliminar
  3. Olá Carlos,
    esta noticia é posterior a 20 de junho de 2017?
    é que a foscam disse que estava resolvido nessa data...

    http://foscam.us/blog/foscamipcameras/tips-on-securing-your-foscam-camera/

    ResponderEliminar
    Respostas
    1. Não... já estava era agendada desde o início de Junho (as férias obrigam a preparar posts com meses de antecedência. :)

      Eliminar
  4. Ok, obrigado. Ainda assim estou com dúvidas se compro esta marca ou outra... Estava inclinado para esta mas agora não sei...

    ResponderEliminar
    Respostas
    1. Anónimo7/8/17 22:02

      Melhor uma que não seja fabricada na China (embora tal também não seja garantia de qualidade, já que até marcas muito conhecidas trazem muitas vezes também vulnerabilidades que parecem ser propositadas).
      A única que tem alguma certificação credível é a Smartfrog IP Cam, mas ainda nem está à venda, nem tem informações de quando estará.

      Eliminar
  5. Pois não está fácil... Mas se calhar fico mesmo por foscam&client ou dahua...

    ResponderEliminar