Los investigadores de seguridad han descubierto una falla de seguridad en una cámara de seguridad doméstica popular que permite espiar a distancia sin ninguna forma de autenticación
Esta semana, investigadores de la firma de seguridad cibernética Tenable dijeron que la cámara IP Amcrest IP2M-841B, disponible en Amazon y sujeta a 12,000 comentarios de clientes, muchos de los cuales son positivos, contenía un error grave que es "trivial" de explotar.
La cámara Amcrest se anuncia como una cámara Full HD 1080p capaz de capturar imágenes con poca luz. Los desarrolladores del dispositivo dicen que la cámara se puede usar a través de un teléfono inteligente y una PC, y las imágenes también se pueden enviar a la nube a través de una suscripción.
Dentro de la descripción de la cámara, Amcrest dice que se han implementado una serie de características de seguridad, que incluyen "conexión SSL / HTTPS, encriptación inalámbrica AES / WPA2, [a] certificado de cámara FCC y UL y actualizaciones regulares de firmware de seguridad".
Sin embargo, en una publicación de blog de Medium , los investigadores dicen que se ha perdido un problema evidente: la posibilidad de escuchar a escondidas las transmisiones de audio de un usuario.
La vulnerabilidad, ahora asignada como CVE-2019–3948 , se encontró después de un examen del firmware del dispositivo.
Jacob Baines de Tenable dijo que podía escuchar de forma remota la alimentación de audio de la cámara a través de HTTP sin ninguna forma de autenticación.
"La versión de firmware de la cámara IP Amcrest IP2M-841B V2.520.AC00.18.R no requiere autenticación para acceder al punto final / videotalk HTTP", se lee en la descripción de la vulnerabilidad. "Una persona remota no autenticada puede conectarse a este punto final y escuchar el audio que captura la cámara".
Para explotar el error, solo se necesita un atacante para apuntar su navegador o una herramienta como VLC al punto final, y se puede usar un script simple para extraer imágenes de audio.
Si se conecta a Internet, dice el investigador, la cámara se convierte esencialmente en "el dispositivo de escucha de cualquiera".
La cámara, un dispositivo Dahua renombrado, también era susceptible a CVE-2017-7927 , un problema de omisión de autenticación.
Tenable contactó con sus hallazgos en mayo. Amcrest reconoció la existencia de ambas vulnerabilidades y desarrolló un parche adecuado. La divulgación pública se retrasó hasta el 29 de julio y el mismo día se puso a disposición una actualización de firmware.
Fecha actualización el 2021-08-01. Fecha publicación el 2019-08-01. Categoría: hackers Autor: Oscar olg Mapa del sitio Fuente: zdnet Version movil