Hackear estas cámaras de seguridad solo requiere tres horas y dos gráficas

Gadgets

La domótica lleva muchos años existiendo, aunque el ‘Internet de las Cosas’ haya empezado a popularizarse ahora. Y un elemento clave, en este entorno, son las cámaras de vigilancia que funcionan por Internet. Cámaras IP que graban de forma constante en casa, por ejemplo, y que podemos controlar desde cualquier parte para vigilar la seguridad de nuestra casa a distancia. Guardzilla es un popular fabricante de este tipo de productos, y hackear una de sus cámaras es increíblemente sencillo.

Las cámaras de vigilancia de este fabricante, según han descubierto desde 0DayAllDay, utilizan una clave de seguridad que se puede extraer de su firmware. El firmware tiene un importante problema de diseño a nivel de seguridad, la clave root viene cifrada, pero con un algoritmo obsoleto. Por este motivo, los expertos en seguridad informática han mostrado que solo hacen falta tres horas para que, con el trabajo de dos tarjetas gráficas, se encuentre esta clave de seguridad de 8 caracteres. Es decir, que lamentablemente es un fallo de seguridad que se puede explotar de forma sencilla por una persona ‘corriente’, no hace falta material especializado.

Todo lo que graba una de estas cámaras de vigilancia se puede robar: lo que haces en casa se sube a la nube con una seguridad realmente baja

Explican además que las cámaras de vigilancia de esta compañía graban vídeo de forma constante y suben los clips a la nube de forma automática. Se utiliza Amazon Web Services para el alojamiento en servidores remotos, y al conseguir estas claves se puede acceder a todos los contenidos que allí se alojan y son subidos por las cámaras de vigilancia de todos sus clientes. Las prácticas del fabricante, a nivel de seguridad informática, son obsoletas y por lo tanto es sencillo para un atacante tomar el control de estas cámaras de vigilancia y, sobre todo, acceder a todo el material grabado.

Lo más preocupante es que el fabricante fue avisado con antelación. Han tenido tres meses para solucionar el problema antes de que la vulnerabilidad se hiciera pública, y no han actualizado el firmware de sus cámaras afectadas, que son todas. De hecho, desde la compañía no han llegado a reconocer el problema ni han anunciado una solución. Algo muy preocupante, puesto que estas cámaras graban también cuando estamos en casa, luego la privacidad de los usuarios se puede ver seriamente comprometida.

Escrito por Carlos González

Fuente > ADSLZone

Continúa leyendo
  • David

    ¿Podéis indicar marca y modelo? O en su defecto ¿el código CVE asignado

    • busca 0dayallday y supongo que el primer resultado la pagina .org la primera noticia ahora mismo.

  • Esto lo publiqué en amazon, primero las camaras de esas “chinas” no necesitan apertura de puertos, sino que usa una APP en el telefono que se CONECTA a su servidor y la camara esta enviando a SU servidor, por lo cual no es punto a punto, sino que pasa por un tercero, luego, aunque no lo estas viendo, hay flujos “constantes y grandes” hacia sus servidores, y para mi la unica explicacion es que esta mandando imagenes o videos, porque uan camara que suba 20 o 30 MB no es que esta mandando mantenimiento de sesion…

    Bueno, por esto, el fabricante/vendedor me ha denunciado en amazon y he perdido la oportunidad de valorar productos de “por vida” en amazon.

  • Luis

    No cuesta poner la marca y el modelo. No sé porque en esto no os interesa ponerlo y para otras cosas lo ponéis.