2021/08/18

Vulnerabilidade expõe milhões de câmaras de vigilância, DVRs e monitores de bebé

Há nova falha que deixa em risco milhões de pessoas com câmaras de vigilância, DVRs, monitores de bebé e outros dispositivos ligados à cloud.

Ao longo dos anos têm sido muitas as falhas descobertas neste tipo de dispositivos, que permitem que atacantes possam ver o que se passa em casa das suas vítimas, e por vezes até interagir com elas usando as funcionalidades de comunicação bi-direccional que alguns dos produtos permitem. E agora temos novo caso, que se torna ainda mais preocupante por ser uma falha que afecta dezenas ou centenas de marcas diferentes, em vez de apenas os produtos de um só fabricante.

Normalmente as falhas nestes sistemas eram de coisas como passwords definidas de fábrica, ou contas de administrador secretas que davam acesso ao dispositivo, ou falhas na autenticação que permitiam o acesso sem necessidade de password - para não falar dos casos de simples más configurações que deixam as câmaras expostas ao mundo. Mas neste caso, a falha é num SDK ThroughTek Kalay, que é utilizado por inúmeros fabricantes para facilitar o processo de interligação entre câmaras e outros "smart devices" e as suas apps. Um SDK que facilita as ligações, mas que neste caso continha uma vulnerabilidade que automaticamente se multiplica por todos os produtos onde é utilizado.

Isto significa que todos os dispositivos que recorram a este SDK estão em risco de verem a sua ligação ser interceptada por hackers, que poderão ganhar acesso aos streams (no caso das câmaras), ou potencialmente controlarem outros produtos, como lâmpadas e outros. E infelizmente, este é um sector onde são raros os casos em que existem sistemas de actualização automática, pelo que a esmagadora maioria dos mais de 80 milhões de produtos que se estima estarem vulneráveis dificilmente irá receber ou efectuar uma actualização para rectificar esta situação.

Parece-me que se começa a tornar imensamente crítico que qualquer "smart device" que mantenha uma ligação à internet deveria ser obrigado a fornecer um serviço de actualizações de segurança durante um prazo mínimo de cinco anos, assim como actualizações em prazo útil após a descoberta de qualquer vulnerabilidade.

Sem comentários:

Enviar um comentário (problemas a comentar?)

[pub]