Berta Sándor
9 millió térfigyelő kamerában találtak biztonsági hibát
A világ egyik legnagyobb gyártójának termékeiben lévő hiba a felhőszoftverben van, és a szakértők nem frissítést, hanem a lecserélést javasolják.
A Hangzhou Xiongmai Technology digitális és hálózati videorekordereket, valamint térfigyelő kamerákat készít. A név elsőre nem igazán mond semmit a felhasználóknak, ami nem véletlen, mert egy OEM-gyártóról van szó, amelynek az eszközeit több mint 100 partner értékesíti. Köztük vannak olyan cégek, mint az A-Zone, az Escam, a Dagro, a digoo, a Hi5 Vision, a Konlen, a Nextrend vagy a SecTec. A SEC Consult munkatársainak számításai alapján a biztonsági rés 9 millió terméket érint, melyek közül legalább 1,3 milliót Európában értékesítettek és alkalmaznak.
A Xiongmai XMEye P2P Cloud nevű felhőkörnyezeti megoldásban vannak komoly biztonsági hibák. A programot a SEC Consult szakértői tüzetesen megvizsgálták. A felhőkörnyezeti megoldáson keresztül lehetőség van arra, hogy valaki betörjön a videomegfigyelési rendszerekbe és azokon át megfigyelje a felhasználókat. Miután a térfigyelő kamerákat számos vállalat is használja, ezért a segítségükkel célzott ipari kémkedési akciókat is végre lehet hajtani. Egy támadó egy kamerán keresztül hozzáférést szerezhet a helyi céges hálózatokhoz és abból kiindulva más rendszerekbe is betörhet.
A SEC Consult szakembereinek vizsgálata során kiderült, hogy Kínában 5 438 000, Németországban 1 319 000, az Amerikai Egyesült Államokban 742 000, Szingapúrban 697 000, Japánban 577 000, míg Törökországban 189 000 készüléket érint a hiba. Az XMEye P2P Cloudon keresztül lehetőség van ezen eszközök összekötésére, még akkor is, ha egy belső hálózat részeit képezik. A helyzetet súlyosbította, hogy a megoldásokat úgy szállították ki, hogy a felhasználói név minden esetben "admin" volt, míg jelszó nem volt. Így gyakorlatilag bárki végrehajthatott firmware-frissítéseket vagy megváltoztathatott beállításokat.
A felhasználók jelszava minden esetben a "tluafed" volt, s az embereknek nem szóltak arról, hogy változtassák meg azt. A firmware-frissítések nem voltak tanúsítvánnyal ellátva, ezért ha valaki egy kártevőt juttatott be az egyik készülékbe, akkor az XMEye P2P Cloudon át gyakorlatilag minden csatlakoztatott terméket megfertőzhetett vagy manipulálhatott volna. Ezáltal a világ IT-történetének legnagyobb botnetét lehetett volna kialakítani - a tulajdonosok tudta nélkül.
A biztonsági kutatók javaslata rendkívül egyszerű: a Xiongmai egyetlen termékét sem szabad többé használni. Johannes Greil, a SEC Consult sebezhetőségeket vizsgáló laboratóriumának vezetője azt mondta, hogy a jelszavak megváltoztatása semmit sem oldana meg, a felderített hibákból ugyanis túl sok van és azok túlzottan mélyen vannak beágyazva a rendszerbe. A kínai gyártót már hét hónappal ezelőtt tájékoztatták a problémákról és eddig egyetlen javítást vagy frissítést sem adott ki.
A Hangzhou Xiongmai Technology digitális és hálózati videorekordereket, valamint térfigyelő kamerákat készít. A név elsőre nem igazán mond semmit a felhasználóknak, ami nem véletlen, mert egy OEM-gyártóról van szó, amelynek az eszközeit több mint 100 partner értékesíti. Köztük vannak olyan cégek, mint az A-Zone, az Escam, a Dagro, a digoo, a Hi5 Vision, a Konlen, a Nextrend vagy a SecTec. A SEC Consult munkatársainak számításai alapján a biztonsági rés 9 millió terméket érint, melyek közül legalább 1,3 milliót Európában értékesítettek és alkalmaznak.
A Xiongmai XMEye P2P Cloud nevű felhőkörnyezeti megoldásban vannak komoly biztonsági hibák. A programot a SEC Consult szakértői tüzetesen megvizsgálták. A felhőkörnyezeti megoldáson keresztül lehetőség van arra, hogy valaki betörjön a videomegfigyelési rendszerekbe és azokon át megfigyelje a felhasználókat. Miután a térfigyelő kamerákat számos vállalat is használja, ezért a segítségükkel célzott ipari kémkedési akciókat is végre lehet hajtani. Egy támadó egy kamerán keresztül hozzáférést szerezhet a helyi céges hálózatokhoz és abból kiindulva más rendszerekbe is betörhet.
A SEC Consult szakembereinek vizsgálata során kiderült, hogy Kínában 5 438 000, Németországban 1 319 000, az Amerikai Egyesült Államokban 742 000, Szingapúrban 697 000, Japánban 577 000, míg Törökországban 189 000 készüléket érint a hiba. Az XMEye P2P Cloudon keresztül lehetőség van ezen eszközök összekötésére, még akkor is, ha egy belső hálózat részeit képezik. A helyzetet súlyosbította, hogy a megoldásokat úgy szállították ki, hogy a felhasználói név minden esetben "admin" volt, míg jelszó nem volt. Így gyakorlatilag bárki végrehajthatott firmware-frissítéseket vagy megváltoztathatott beállításokat.
A felhasználók jelszava minden esetben a "tluafed" volt, s az embereknek nem szóltak arról, hogy változtassák meg azt. A firmware-frissítések nem voltak tanúsítvánnyal ellátva, ezért ha valaki egy kártevőt juttatott be az egyik készülékbe, akkor az XMEye P2P Cloudon át gyakorlatilag minden csatlakoztatott terméket megfertőzhetett vagy manipulálhatott volna. Ezáltal a világ IT-történetének legnagyobb botnetét lehetett volna kialakítani - a tulajdonosok tudta nélkül.
A biztonsági kutatók javaslata rendkívül egyszerű: a Xiongmai egyetlen termékét sem szabad többé használni. Johannes Greil, a SEC Consult sebezhetőségeket vizsgáló laboratóriumának vezetője azt mondta, hogy a jelszavak megváltoztatása semmit sem oldana meg, a felderített hibákból ugyanis túl sok van és azok túlzottan mélyen vannak beágyazva a rendszerbe. A kínai gyártót már hét hónappal ezelőtt tájékoztatták a problémákról és eddig egyetlen javítást vagy frissítést sem adott ki.