في بحث لشركة «إسيت»: ثغرة في الكاميرا تفتح الباب للتجسس على صاحبها
وفقًا لآخر أبحاث “إسيت لإنترنت الأشياء” ESET IoT، تعاني كاميرا D-Link السحابية DCS-2132L من العديد من الثغرات الأمنية التي يمكن أن تفتح الباب التجسس للجهات الغير مرغوب فيها. واستنادًا إلى المعلومات التي تم الكشف عنها، قامت الشركة المصنعة بتخفيف بعض نقاط الضعف المبلغ عنها، ولكن لا يزال البعض الآخر يلوح في الأفق.
يصف الباحث “ميلان فرانيك” المسؤول بمختبر «إسيت» للأبحاث في براتيسلافا: “المشكلة الأكثر خطورة في الكاميرا السحابية D-Link DCS-2132L هي الإرسال غير المشفر لتدفقات الفيديو. ويتم تشغيله بطريقة غير مشفرة عبر كلا الوصلتين – بين الكاميرا والسحابة وبين السحابة وتطبيق العارض من جانب المستخدم – مما يوفر أرضية خصبة لهجمات “الرجل في الوسط” (MitM) ويسمح للمتطفلين بالتجسس على دفق الفيديو للضحايا”.
تم إخفاء مشكلة خطيرة أخرى تم العثور عليها في الكاميرا وجدت في متصفح الويب “خدمات myDlink”. وهذه أحد أشكال تطبيق العارض المتاحة للمستخدم؛ وكذلك تطبيقات أخرى مثل تطبيقات الأجهزة المحمولة التي لم تكن جزءًا من بحثنا.
يدير المكون الإضافي لمتصفح الويب إنشاء نفق TCP وتشغيل الفيديو المباشر في متصفح المستخدم، ولكنه أيضًا مسؤول عن إعادة توجيه طلبات تدفقات بيانات الفيديو والصوت من خلال النفق، و الذي يستمع على منفذ تم إنشاؤه ديناميكيًا على مضيف محلي.
يقول “فرانيك”: “يمكن أن يكون لضعف المكونات الإضافية عواقب وخيمة على أمان الكاميرا، حيث أتاح للمهاجمين استبدال البرامج الثابتة الشرعية بنسختهم المزورة أو الخلفية.”
وقامت «إسيت» بالإبلاغ عن كافة الثغرات الموجودة للشركة المصنعة. ومنذ ذلك الحين تم تخفيف بعض الثغرات الأمنية – لا سيما في المكون الإضافي myDlink وتصحيحها من خلال التحديث، ولكن لا تزال هناك مشكلات متعلقة بالإرسال الغير المشفر.
وللحصول على وصف أكثر تفصيلاً لنقاط الضعف وسيناريوهات الهجوم المحتملة، اقرأ المقال البحثي “تسمح ثغرة كاميرا D-Link للمهاجمين بالضغط على تدفق الفيديو” على موقع «إسيت»: WeLiveSecurity.com.
