ESET IoT araştırmasına nazaran bulut kamera D-Link DCS-2132L ’de yetkisiz erişimlere kapıyı açabilen çoklu güvenlik açığı kelam konusu. Kameranın en önemli sorunu ise görüntü akışını şifrelemeden iletmesi.
ESET’in Slovakya Bratislava’daki Araştırma Laboratuvarı’ndan Milan Fránik, “Ne kamera ve bulut ortasındaki ilişki, ne de bulut ve görüntüleme uygulaması ortasındaki ilişki şifrelendiği için sistem, ‘ortadaki adam (MitM – Man in the Middle)’ ataklarına ve görüntü yayınlarının davetsiz konuklar tarafından izlenmesine açıktır” bilgisini paylaştı.
Eklenti de problemli
Tespitlere nazaran kamerada bulunan bir öteki önemli sorun, ‘mydlink services (D-Link hizmetlerim)’ web tarayıcısı eklentisinde bâtın. Web tarayıcısı eklentisi, TCP tünelinin oluşturulmasını ve istemcinin tarayıcısında canlı görüntü oynatmayı yönetir lakin tıpkı vakitte localhost üzerinde dinamik olarak oluşturulmuş bir temas noktasını dinleyen bir tünel aracılığıyla görüntü ve ses data akışlarına yönelik isteklerin iletilmesinden de sorumludur.
“Eklenti güvenlik açığı, kameranın güvenliği için dehşetli sonuçlar doğurabilirdi, zira saldırganların orjinal eser yazılımını kendi hileli sürümleriyle değiştirmelerini mümkün kılabilir” diyor Milan Fránik.
Üreticiye bildirildi
Uzmanlar, tespit edilen tüm güvenlik açıklarını üreticiye bildirdi. Öncelikli olarak myDlink eklentisindeki güvenlik açıklarından kimileri güncellemeyle hafifletildi ve yamalandı, fakat şifrelenmemiş iletim ile ilgili meseleler devam ediyor.