Automatização do ciclo de vida integrado: HP ProLiant Gen8
Hackers poderiam injetar vídeo falso em kit de vigilância casa popular Dropcam e usar o sistema para atacar redes, os pesquisadores Patrick Wardle e Colby Moore diz.
A vasta gama de ataques foram temperada pela necessidade de atacantes para ter acesso físico aos dispositivos, mas as façanhas oferecem a oportunidade de injetar quadros de vídeo em câmeras - útil para roubos casa - vídeo de interceptação, e explorar a vulnerabilidade Heartbleed para puxar senhas e SSL chave privada do servidor.
Dropcam torna uma plataforma de monitoramento de vídeo e foi no mês passado abocanhados pelos Labs Ninho do Google por US $ US555 milhões.
Wardle ( @ patrickwardle ) e Moore ( @ colbymoore ) da empresa de segurança SynAck, Califórnia, hardware e software Dropcam e descobriu vulnerabilidades que poderiam permitir que o malware a ser implantado nos dispositivos que atacam casa ou redes corporativas engenharia reversa.
"Se alguém tem acesso físico, ele é muito bonito ao longo do jogo", disse Wardle DarkReading .
"A câmera é vulnerável a ataques Heartbleed do lado do cliente. Você pode falsificar o servidor DNS Dropcam, ea câmera se balizar para fora."
A dupla irá descrever como Dropcam poderia se transformar em um ponto de ataque dentro da rede de usuários durante uma palestra cirurgia Optical; Implantação de um Dropcam na próxima DEF CON 22 conferência em Las Vegas no próximo mês.
Eles contam suas effors de engenharia reversa que levam ao "compromisso total de um Dropcam" que, com o acesso físico e "alguns hacks de hardware e software criativas" permitiria qualquer malware a ser persistentemente instalado nos dispositivos. A dupla também revelam como a infectar caixas do Windows ou Mac OS X, que foram usados para configurar Dropcams hackeados.
Wardle disse que as câmeras devem estar sujeitos aos mesmos controlos de segurança como computadores regulares dadas as suas capacidades e vulnerabilidades.
Dropcam foi encontrado para ser executando versões Heartbleed vulnerável do OpenSSL eo Unix pacote de utilitários BusyBox . ®
Nenhum comentário:
Postar um comentário