Команда исследователей обнаружила недостатки в безопасности нескольких популярных умных камер, которые позволяют любому желающему получить доступ к устройствам. В частности, разрабатываемые компанией Swann камеры не могут определить, авторизован ли пользователь для просмотра трансляции или нет.
Другими словами, любой пользователь мог свободно слушать и смотреть все, что передает подключенная к Сети камера.
Исследователи из Pen Test Partners сообщили, что в прошлом месяце несколько пользователей непреднамеренно получили доступ к видеопотоку других пользователей. Специалисты утверждают, что приложение Swann легко можно обмануть, заставив отобразить поток, транслируемый другой камерой.
«Нам легко удалось переключать видеопотоки с одной камеры на другую через облачную службу. Это доказывает, что доступ к камере пользователя Swann может получить любой», — пишут эксперты.
Если злоумышленники воспользуются этой брешью, тысячи конфиденциальных видео могут утечь в Сеть. Отсюда открывается прекрасный вектор для шантажа — плати мне, либо я опубликую твое частное видео.
Уязвимость существовала из-за наличия в каждой камере жестко запрограммированного серийного номера для связи с облачным сервисом. Эксплуатация этого недостатка была довольно тривиальна — стоило лишь заменить серийный номер камеры другим, чтобы получить доступ к потоку другой камеры.
