Descubren que un gran número de cámaras IP tienen contraseñas incrustadas e imposibles de cambiar

Investigadores de la firma de ciberseguridad F-Secure han descubierto que un gran número de cámaras conectadas a Internet con el sello del fabricante chino Foscam poseen una serie de graves vulnerabilidades que facilitarían la labor de posibles atacantes, haciendo posible acceder a transmisiones de vídeo de forma ilícita, descargar archivos almacenados localmente y potencialmente infectando otros dispositivos conectados en red.

La descripción de los fallos de seguridad detectados en las cámaras de Foscam dejan la imagen de la compañía en una situación tan precaria como la seguridad de sus propios productos:

La enorme cantidad de vulnerabilidades ofrece a un atacante múltiples alternativas a la hora de comprometer el dispositivo. Entre las vulnerabilidades descubiertas hay credenciales inseguras por defecto y credenciales incrustadas en el código [hard coded], ambas de las cuales hacen que sea trivial para un atacante conseguir acceso sin autorización. Otras vulnerabilidades permiten realizar inyecciones de comandos de forma remota por parte de un atacante. Archivos y directorios con permisos de escritura globales permiten a un atacante modificar el código y lograr privilegios root. Funciones Telnet ocultas permiten a un atacante usar Telnet para descubrir vulnerabilidades adicionales en un dispositivo y en la red que rodea al dispositivo. Además, el cortafuegos del dispositivo no se comporta como un cortafuegos, y también revela información sobre la validez de las credenciales.

En total F-Secure ha descubierto 18 vulnerabilidades que todavía deben ser reparadas a pesar de sido alertada hace meses. Estos fallos afectan de forma más concreta a las unidades comercializadas bajo el nombre Opticam i5 HD, pero también afectan en menor medida a la Foscam C2.

Imagen

Un mapa publicado por F-Secure señala a España como uno de los países con más dispositivos potencialmente vulnerables, aunque sin especificar si refleja la difusión de estas cámaras o si por el contrario denota la presencia de dispositivos IoT vulnerables en general.

Un problema añadido es que Foscam produce cámaras que después son vendidas bajo otras marcas. Sus productos también se pueden encontrar con los nombres de Chacon, Thomson, 7links, Opticam, Netis, Turbox, Novodio, Ambientcam, Nexxt, Technaxx, Qcam, Ivue, Ebode y Sab. Según informa ArsTechnica, la gente que tenga una de estas cámaras debería "considerar seriamente" utilizarlas dentro de una red local exclusiva sin acceso a otros dispositivos y desconectada de Internet.

Incidentes como el masivo ataque DDoS que desconectó servicios como WhatsApp y Twitter han hecho que cada vez más compañías presten atención a la seguridad de los dispositivos IoT (del inglés Internet of Things) por su potencial para ser secuestrados por posibles atacantes. Las cámaras IP son con mucha diferencia uno de los dispositivos más golosos, puesto que además de contar con medidas de seguridad muy dudosas, suelen estar conectadas en red y rara vez son consideradas como una posible puerta de acceso.

Fuente: Informe de F-Secure (en PDF)
Mejor te haces una cámara IP con una raspy zero W y una webcam normal y te aseguras de que controlas al 100% lo que hace
Pues nada, la gente sin cuidado y teniendo su vida en abierto por internet. Aún recuerdo cuando se podían buscar en google y acceder a cámaras que estaban sin ningún tipo de seguridad.
piccolo_knd escribió:Pues nada, la gente sin cuidado y teniendo su vida en abierto por internet. Aún recuerdo cuando se podían buscar en google y acceder a cámaras que estaban sin ningún tipo de seguridad.

Aún funciona si no recuerdo mal.
La gente no configura nada y deja sin contraseña o con admin admin.

Edit: Si funciona si.
Por ejemplo buscando:
inurl:"ViewerFrame?Mode="
inurl:"view/index.shtml"
etc..

De hecho hay webs que se dedican recopilar.
Ejemplo: http://www.insecam.org/en/view/489593/#camstream
Ideal para los cacos saber cuando salen de casa XD
Eso sencillamente es es ser unos HDLGP chinos.
Debemos tener claro que nuestra privacidad ha desaparecido casi por completo en la era de Internet...
Es una verguenza que dispositivos tan sensible como lo son las camaras que permiten acceder a nuestra intimidad tenga una seguridad tan precaria.
Menos mal que la mía no es Foscam [+risas] [carcajad]
La tengo apuntando a un molinillo de viento en el balcón, para saber si hace aire o llueve desde mi bunker nuclear. Estoy a la espera del contador geiger. [+risas] [carcajad]

Saludos.
DS_impact escribió:Aún funciona si no recuerdo mal.
La gente no configura nada y deja sin contraseña o con admin admin.

Edit: Si funciona si.
Por ejemplo buscando:
inurl:"ViewerFrame?Mode="
inurl:"view/index.shtml"
etc..

De hecho hay webs que se dedican recopilar.
Ejemplo: http://www.insecam.org/en/view/489593/#camstream
Ideal para los cacos saber cuando salen de casa XD

berez12 escribió:Que aproveche

XD XD XD
https://www.insecam.org/en/view/419207/

No sé qué estarían emitiendo cuando lo habéis pasado xD pero echando un vistazo al resto de emisiones, el tema asusta un poco... Desde bares hasta cámaras dentro de geriatricos [boing]
ESto de las cámaras IP ya era conocido desde hacía tiempo, pero veo que esta vez se ha complicado con el tema de los passwords que no se pueden cambiar... [facepalm]
Yo tengo cámaras IP en casa, concretamente unas 10, más las del sistema de alarma (4) y el otro sistema de alarma (3), esas van a petición.

Primero de todo, no voy a ponerlo en zonas "íntimas", baños, dormitorios, y demás sitios donde pueda estar paseando con el cimbrel cortando el viento para que lo vea el indiscreto de turno pero, sobre todo y más importante, no confío la seguridad del acceso a esas cámaras a las propias cámaras, que tienen sistemas de mierda con versiones de servidor web de acceso del año de maricastaña... las cámaras están en una red aislada por completo salvo a cuatro excepciones, accesible sólo por VPN securizada y monitorizados los acceso y el tráfico 24/7...

Tener cosas de estas directamente expuestas a Internet sin más me parece un locurón, salvo que las tengas apuntando al jardín para ver al perro o algo así... y sobre lo del tener usuario y password a fuegote sin poder cambiarlo, es para devolver la cámara al fabricante y demandarle acto seguido. ¬_¬

Un saludo.
Que chorrada mas grande. No sé los cacos de vuestro pueblo pero los del mío no han visto un router ni en peliculas. Vamos, para pedirles que programen [qmparto] [qmparto]
Imagen
12 respuestas