ESET IoT araştırmasına nazaran bulut kamera D-Link DCS-2132L ’de yetkisiz erişimlere kapıyı açabilen çoklu güvenlik açığı kelam konusu. Kameranın en önemli sorunu ise görüntü akışını şifrelemeden iletmesi.
ESET’in Slovakya Bratislava’daki Araştırma Laboratuvarı’ndan Milan Fránik, “Ne kamera ve bulut ortasındaki irtibat, ne de bulut ve görüntüleme uygulaması ortasındaki irtibat şifrelendiği için sistem, ‘ortadaki adam (MitM – Man in the Middle)’ hücumlarına ve görüntü yayınlarının davetsiz konuklar tarafından izlenmesine açıktır” bilgisini paylaştı.
Eklenti de sıkıntılı
Tespitlere nazaran kamerada bulunan bir diğer önemli sorun, ‘mydlink services (D-Link hizmetlerim)’ web tarayıcısı eklentisinde kapalı. Web tarayıcısı eklentisi, TCP tünelinin oluşturulmasını ve istemcinin tarayıcısında canlı görüntü oynatmayı yönetir lakin tıpkı vakitte localhost üzerinde dinamik olarak oluşturulmuş bir ilişki noktasını dinleyen bir tünel aracılığıyla görüntü ve ses bilgi akışlarına yönelik isteklerin iletilmesinden de sorumludur.
“Eklenti güvenlik açığı, kameranın güvenliği için fecî sonuçlar doğurabilirdi, zira saldırganların orjinal eser yazılımını kendi hileli sürümleriyle değiştirmelerini mümkün kılabilir” diyor Milan Fránik.
Üreticiye bildirildi
Uzmanlar, tespit edilen tüm güvenlik açıklarını üreticiye bildirdi. Öncelikli olarak myDlink eklentisindeki güvenlik açıklarından kimileri güncellemeyle hafifletildi ve yamalandı, lakin şifrelenmemiş iletim ile ilgili meseleler devam ediyor.