Denne sky fejl sætte millioner af EA brugerkonti på spil: sådan beskytter du dig selv
Forskere ved Check Point og CyberInt fundet fejl, der kunne have lov hackere at overtage millioner af konti. ZDNet ‘ s Danny Palmer forklarer Karen Roby, hvordan brugerne kan holde deres cloud-konti sikker. Læs mere: https://zd.net/2Lw1mlv
Sikkerhed forskere har opdaget et sikkerhedshul i en populær hjem sikkerhed kamera, som tillader ekstern spionage uden nogen form for autentificering.
I denne uge, forskere fra cybersecurity firma Holdbart sagde Amcrest IP2M-841B IP-kamera, der er tilgængelig på Amazon og emne til 12.000 kundeanmeldelser — mange, der er positive — indeholdt en alvorlig fejl, som er “trivielle” til at udnytte.
Den Amcrest kamera er annonceret som en full-HD 1080p-kamera kan svagt lys optagelser fange. Udviklerne af enheden sige, at kameraet kan bruges via smartphone og en PC, og optagelser kan også blive sendt til cloud via abonnement.
Inden for kameraets beskrivelse, Amcrest siger, at en række sikkerhedselementer er blevet gennemført, herunder “SSL/HTTPS-forbindelse, trådløst AES/WPA2 kryptering, [a] FCC-og UL-kamera certifikat, og regelmæssig sikkerhed firmware-opdateringer.”
Men i et Medium, blog-indlæg, forskere siger, at en himmelråbende spørgsmål har været savnet — muligheden for aflytning på en brugers lyd-streams.
Den sårbarhed, nu tildelt CVE-2019–3948, blev fundet efter en gennemgang af enhedens firmware.
Se også: Google forskere afsløre svagheder for ‘interactionless’ iOS-angreb
Holdbar Jacob Baines sagde, at han var i stand til at fjernstyre lytte til kameraets lyd foder over HTTP uden nogen form for autentificering.
“Det Amcrest IP2M-841B IP-kamera firmware version V2.520.AC00.18.R kræver ikke godkendelse til at få adgang til HTTP-endpoint /videotalk,” den svaghed, er beskrivelsen lyder. “For en ikke-godkendt, ekstern person, der kan oprette forbindelse til denne effektparameter og lytte til den lyd, kameraet fanger.”
For at udnytte fejlen, det tager kun en angriber til at pege deres browser eller et værktøj, som VLC til slutpunktet, og et simpelt script kan bruges til at udtrække lyd optagelser.
TechRepublic: Hvordan til at beskytte din virksomheds bank-konto efter Capital One brud: 10 tips
Hvis den er tilsluttet til Internettet, forskeren siger, kameraet væsentlige bliver “for, at nogen lytter enhed.”
Kameraet, en rebranded Dahua enhed, var også modtagelige for CVE-2017-7927, en godkendelse omgå problemet.
CNET: Falske tech-support svindel på Twitter kan koste dig, undersøgelse advarer
Holdbar nået ud med sine resultater i Maj. Amcrest erkendt eksistensen af både sårbarheder og udviklet en egnet patch. Offentliggørelse blev skubbet tilbage, indtil 29 juli, og en firmware opdatering blev foretaget på samme dag.
Amcrest har ikke svaret på anmodninger om en kommentar på tidspunktet for offentliggørelsen.
Tidligere og relaterede dækning
TRON kritisk sikkerhedshul kan bryde hele blokkæden
Urgent11 sikkerhedshuller indvirkning routere, printere, SCADA, og mange enheder, tingenes internet
Tre fjerdedele af mobile apps har denne sårbarhed, som kan sætte dine personlige data i fare
Har du et tip? Komme i kontakt sikkert via WhatsApp | Signal på +447713 025 499, eller over på Keybase: charlie0
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre