WhiteHat News #ID:1368
WhiteHat Support
-
04/06/2014
-
0
-
110 bài viết
Thiết bị camera giám sát Dropcam của Google dính lỗ hổng
Hãng bảo mật Synack vừa công bố lỗ hổng trong bộ thiết bị giám sát Dropcam giúp tin tặc có thể chèn các hình ảnh giả và sử dụng thiết bị làm bàn đạp tấn công hệ thống mạng.
Dropcam là công ty có trụ sở tại Carlifornia, được biết đến với sản phẩm camera giám sát có thể truyền dữ liệu qua mạng wifi và cho phép người dùng xem trực tuyến hình ảnh qua dịch vụ đám mây. Tháng 6 vừa qua, Dropcam được Google mua lại với giá 555 triệu đôla Mỹ.
Hai nhà nghiên cứu của Synack đã tiến hành dịch ngược (reverse-engineer) phần mềm và phần cứng của Dropcam và phát hiện nhiều lỗ hổng. Nếu được tiếp xúc vật lý với thiết bị, tin tặc có thể chèn hình ảnh vào camera, can thiệp vào video và khai thác lỗ hổng Heartbleed để lấy được password và private key từ server SSL nhận dữ liệu từ camera truyền về. Thậm chí, tin tặc còn thể cấy malware vào thiết bị để từ đó tấn công vào hệ thống mạng của gia đình hoặc doanh nghiệp.
Tại hội nghị về an ninh mạng DEF CON 22 sắp diễn ra tại Las Vegas tháng 8 tới, hai nhà nghiên cứu sẽ có bài thuyết trình về lỗ hổng của Dropcam và tái hiện quá trình dịch ngược cũng như cách thức cấy malware vào hộp điều khiển (chạy Windows hoặc Mac OS X) dùng để cấu hình Dropcam. Trước đó, Dropcam được phát hiện sử dụng phiên bản OpenSSL dính lỗ hổng Heartbleed.
Hai nhà nghiên cứu khuyến cáo các thiết bị camera, với khả năng giám sát mà nó mang lại, cũng cần được kiểm tra lỗ hổng an ninh một cách thường xuyên không khác gì máy tính.
Nguồn: The Register
Dropcam là công ty có trụ sở tại Carlifornia, được biết đến với sản phẩm camera giám sát có thể truyền dữ liệu qua mạng wifi và cho phép người dùng xem trực tuyến hình ảnh qua dịch vụ đám mây. Tháng 6 vừa qua, Dropcam được Google mua lại với giá 555 triệu đôla Mỹ.
Hai nhà nghiên cứu của Synack đã tiến hành dịch ngược (reverse-engineer) phần mềm và phần cứng của Dropcam và phát hiện nhiều lỗ hổng. Nếu được tiếp xúc vật lý với thiết bị, tin tặc có thể chèn hình ảnh vào camera, can thiệp vào video và khai thác lỗ hổng Heartbleed để lấy được password và private key từ server SSL nhận dữ liệu từ camera truyền về. Thậm chí, tin tặc còn thể cấy malware vào thiết bị để từ đó tấn công vào hệ thống mạng của gia đình hoặc doanh nghiệp.
Tại hội nghị về an ninh mạng DEF CON 22 sắp diễn ra tại Las Vegas tháng 8 tới, hai nhà nghiên cứu sẽ có bài thuyết trình về lỗ hổng của Dropcam và tái hiện quá trình dịch ngược cũng như cách thức cấy malware vào hộp điều khiển (chạy Windows hoặc Mac OS X) dùng để cấu hình Dropcam. Trước đó, Dropcam được phát hiện sử dụng phiên bản OpenSSL dính lỗ hổng Heartbleed.
Hai nhà nghiên cứu khuyến cáo các thiết bị camera, với khả năng giám sát mà nó mang lại, cũng cần được kiểm tra lỗ hổng an ninh một cách thường xuyên không khác gì máy tính.
Nguồn: The Register
Chỉnh sửa lần cuối bởi người điều hành: