Analiza kodu źródłowego oprogramowania kamer internetowych TRENDnet ujawniła URL, który pozwala każdemu użytkownikowi oglądać obraz z kamery bez autoryzacji.
Kiedy autor bloga Console Cowboys zaczynał analizę aktualizacji oprogramowania dla kamery firmy TRENDnet, zapewne nie spodziewał się, na jakie ciekawostki trafi. Najpierw w binarnym pakiecie oprogramowani zlokalizował archiwum zawierające system plików Minix. Kiedy go zainstalował, odkrył, że w głównym katalogu serwera www istnieje katalog /anony/, w którym znajduje się kilka plików. Okazało się, że jeden z nich, mpjg.cgi, serwuje aktualny obraz z kamery.
Nie było by w tym nic dziwnego, gdyby nie jeden drobiazg – dostęp do pliku nie był w żaden sposób ograniczony, a menu panelu zarządzania kamerą nie pozwalało w żaden sposób na wyłączenie funkcjonalności udostępniania obrazu każdemu użytkownikowi znającemu „tajny” link. Oczywiście kamera posaidała możliwość nadawania haseł użytkownikom i ograniczania ich dostępu – jednak reguły te nie dotyczyły linku /anony/mpjg.cgi.
Odkrywca tej niespodziewanej funkcjonalności postanowił zweryfikować swoje odkrycie i korzystając z wyszukiwarki Shodan szybko zlokalizował kilkaset adresów IP, za którymi kryły się kamery TRENDnet. Okazało się, ze sa one podatne na odkryty właśnie atak.
Odkrycie zostało opublikowane 10 stycznia, a już po prawie miesiącu producent kamer przyznał się do błędu i wypuścił aktualizacje oprogramowania. Okazuje się, że na błąd podatne były wszystkie kamery kupione później niż w kwietniu 2010. Pozostaje otwarte pytanie – po co w oprogramowaniu został umieszczony fragment odpowiedzialny za udostępnianie strumienia wideo bez żadnej autoryzacji, wyglądający jak zaplanowany backdoor?
Komentarze
Ale przecież i tak z zasady wszystkie takie urządzenia powinno się zawsze umieszczać za firewallem i zezwalać na dostęp do nich tylko z adresów IP, z których jest to rzeczywiście potrzebne, a nie wystawiać ich otwartych na cały Internet…