Kamery internetowe TRENDnet umożliwiają każdemu podglądanie

Analiza kodu źródłowego oprogramowania kamer internetowych TRENDnet ujawniła URL, który pozwala każdemu użytkownikowi oglądać obraz z kamery bez autoryzacji.

Kiedy autor bloga Console Cowboys zaczynał analizę aktualizacji oprogramowania dla kamery firmy TRENDnet, zapewne nie spodziewał się, na jakie ciekawostki trafi. Najpierw w binarnym pakiecie oprogramowani zlokalizował archiwum zawierające system plików Minix. Kiedy go zainstalował, odkrył, że w głównym katalogu serwera www istnieje katalog /anony/, w którym znajduje się kilka plików. Okazało się, że jeden z nich, mpjg.cgi, serwuje aktualny obraz z kamery.

Nie było by w tym nic dziwnego, gdyby nie jeden drobiazg – dostęp do pliku nie był w żaden sposób ograniczony, a menu panelu zarządzania kamerą nie pozwalało w żaden sposób na wyłączenie funkcjonalności udostępniania obrazu każdemu użytkownikowi znającemu „tajny” link. Oczywiście kamera posaidała możliwość nadawania haseł użytkownikom i ograniczania ich dostępu – jednak reguły te nie dotyczyły linku /anony/mpjg.cgi.

Odkrywca tej niespodziewanej funkcjonalności postanowił zweryfikować swoje odkrycie i korzystając z wyszukiwarki Shodan szybko zlokalizował kilkaset adresów IP, za którymi kryły się kamery TRENDnet. Okazało się, ze sa one podatne na odkryty właśnie atak.

Odkrycie zostało opublikowane 10 stycznia, a już po prawie miesiącu producent kamer przyznał się do błędu i wypuścił aktualizacje oprogramowania. Okazuje się, że na błąd podatne były wszystkie kamery kupione później niż w kwietniu 2010. Pozostaje otwarte pytanie – po co w oprogramowaniu został umieszczony fragment odpowiedzialny za udostępnianie strumienia wideo bez żadnej autoryzacji, wyglądający jak zaplanowany backdoor?