Otro día, otra cuestión de la Internet de las cosas (IO): Se descubrió un defecto de diseño en el sistema de videovigilancia de Guardzilla, que posibilita a los usuarios ver los videos de otros propietarios.
El Sistema de Seguridad por Video All-In-One de Guardzilla, es una plataforma de seguridad para el hogar que provee vigilancia por video en interiores. El modelo de cámara GZ501W contiene una credencial de Amazon S3 compartida y codificada que se utiliza para almacenar los datos de vídeo guardados en la nube de Amazon, por lo que todos los usuarios del sistema de seguridad por vídeo Guardzilla All-In-One tienen la misma contraseña y, por lo tanto, pueden acceder al vídeo doméstico guardado de cada uno de ellos. Y, cualquier usuario no autenticado puede recoger los datos de cualquiera de los sistemas a través de Internet, siempre y cuando conozca los detalles de almacenamiento.
“Las credenciales S3 integradas tienen acceso ilimitado a todos los cubos S3 aprovisionados para esa cuenta”, explicaron los investigadores de Rapid7 en un artículo publicado el jueves. “Esto se determinó mediante un análisis estático del firmware enviado con el dispositivo. Una vez que el firmware fue extraído y la contraseña de root’GMANCIPC’ fue descifrada, la clave de acceso de Amazon S3 fue recuperada”.
Mediante las teclas de acceso, un atacante puede conectarse a la cuenta de Amazon S3 aprovisionada y acceder a los distintos cubos de almacenamiento asociados con el servicio. Estos incluyen el provocativamente llamado “free-video-storage”, “free-video-storage-persist”, “premium-video-storage” y “premium-video-storage-persist”.
Este problema, descubierto por Nick McClendon, Andrew Mirghassemi, Charles Dardaman, INIT_6 y Chris, todos de 0DayAllDay, fue revelado al proveedor por Rapid7 – pero aún no se ha solucionado el problema, según la firma.
Dado que no hay parche alguno, los usuarios deben asegurarse de que las funciones de almacenamiento de datos basadas en la nube del dispositivo, no estén habilitadas.
Guardzilla no respondió inmediatamente a un pedido de comentarios sobre esta historia.
Con información de: TekCrispy.
Spanish
English
Portuguese
Chinese (Simplified)
Russian
French
German
Dutch
Italian