É verdade que hoje existem equipamentos digitais para quase tudo. No entanto, e até um pouco no âmbito da Internet das coisas, a segurança dos mesmos é colocada normalmente em segundo plano. As câmaras Web e os sistemas de videovigilância são um bom exemplo disso.
De acordo com a mais recente investigação da ESET, a câmara na cloud DCS-2132L da D-Link apresenta diversas vulnerabilidades de segurança, o que pode abrir a porta a utilizadores mal intencionados.
Com base nas informações divulgadas, este fabricante mitigou algumas das vulnerabilidades relatadas, mas outras ainda continuam.
O problema mais sério com a câmara cloud D-Link DCS-2132L é a transmissão não encriptada do vídeo. Tudo é executado sem encriptação entre as ligações, ou seja, entre a câmara e a cloud e entre a cloud e a app do lado do cliente. Isto facilita os ataques de intercepção de dados e permite que utilizadores mal intencionados espiem os streams de vídeo das vítimas
refere o investigador Milan Fránik da ESET.
Outro problema sério encontrado na câmara estava oculto no plug-in do browser que se chama “myDlink services”.
O plug-in trata da criação do túnel TCP e da reprodução de vídeo ao vivo no browser do cliente. Entretanto, também é responsável pelo encaminhamento de solicitações para os fluxos de dados de áudio e vídeo através de um túnel, que está à escuta numa porta gerada dinamicamente no host local .
A vulnerabilidade do plug-in pode ter tido consequências terríveis para a segurança da câmara, já que possibilitou que os invasores substituíssem o firmware legítimo por uma versão manipulada
afirma Fránik.
Dito isto, a ESET reportou todas as vulnerabilidades ao fabricante. Algumas delas – principalmente no plug-in myDlink – já foram mitigadas e corrigidas por atualização. No entanto, os problemas com a transmissão não encriptada de vídeo persistem.
O Pplware agradece à ESET pelo alerta e envio de informações para a produção deste conteúdo.