D-Link-firmwarefeil kan tillate IP-video-strømspionering

Hvis du driver en bank og bruker et IP-videokamera fra D-Link, vil du kanskje være oppmerksom på dette.

En rekke IP-baserte overvåkningskameraer Core Security, et selskap basert i Boston, som spesialiserer seg på sårbarhetsdeteksjon og -forskning, publisert på mandagens detaljer om fem sårbarheter.

[Videre lesing: De beste overspenningsvernene for din kostbare elektronikk]

D-Link lager en rekke Internett-tilkoblede kameraer som den selger til bedrifter og forbrukere. Kameraene kan ta opp bilder og video og styres via nettbaserte kontrollpaneler. Live-feeder kan vises på enkelte mobile enheter.

En av de sårbare modellene, DCS-5605 / DCS-5635, har en bevegelsesdeteksjonsfunksjon, som D-Link antyder i markedsføringsmateriellene, vil være bra for banker, sykehus og kontorer.

Core Securitys forskere fant at det var mulig å få tilgang til en levende videostrøm via RTSP (sanntidsstrømprotokoll), samt en ASCII-utgang fra en videostrøm i de berørte modellene uten autentisering. RTSP er en applikasjonsnivåprotokoll for overføring av sanntidsdata, ifølge Internet Engineering Task Force.

Forskerne fant også et problem med det nettbaserte kontrollpanelet som ville tillate at en hacker skulle skrive inn vilkårlig kommandoer. I en annen feil, D-Link hardkodede påloggingsinformasjon til fastvaren som "fungerer effektivt som en bakdør, som gjør det mulig for eksterne angripere å få tilgang til RTSP-videostrømmen," sa Core Security i sin rådgivende versjon.

De tekniske detaljene er beskrevet i et innlegg i Full Disclosure-delen av Seclists.org, sammen med en liste over kjente berørte produkter, hvorav noen har blitt utfaset av D-Link.

Core Security varslet D-Link av problemet 29. mars, ifølge en logg over de to selskapenes samhandling inkludert i oppslaget på Full Disclosure. Loggen, skrevet av Core, inneholder interessante detaljer om hvordan de to selskapene korresponderte og tilsynelatende hadde noen uenigheter.

Ifølge Core sa D-Link at det hadde et "upublisert bounty-program for sikkerhetsleverandører." Mange selskaper har feilprogrammer som belønner forskere med kontanter eller andre insentiver for å finne sikkerhetsproblemer i sine produkter og informere dem før de offentliggjør detaljer.

D-Link ba om at Core Security signerte et "memo of understanding" Som en del av programmet, som Core avvist. Vilkårene i notatet ble ikke beskrevet. Kjerne fortalte D-Link at "mottak av penger fra leverandører kan forstyrre visningen av rapporten."

De to selskapene hadde en annen mindre innkjøp. D-Link fortalte Core at det ville frigjøre oppdateringene og veiledningen for å fikse problemene på D-Link Support Forum. D-Link vil da vente en måned før en offentlig kunngjøring.

Core Security likte ikke det forslaget. Sist onsdag spurte Core D-Link "for en avklaring om D-Link-utgivelsesdatoen og informerer om at utgivelse av rettigheter til en privilegert lukket gruppe og / eller et lukket forum eller liste er uakseptabelt."

D-Link forum har et påloggingsfelt, men det ser ut som at noen kan se mange av innleggene uten å registrere seg. D-Link kom tilbake en dag senere og sa at patcher er klare og vil bli lagt ut på sitt nettsted "over de neste dagene", skrev Core.

D-Link reagerte ikke umiddelbart på forespørsler om kommentar. Det var uklart fra selskapets støtteforum dersom firmwareoppdateringene hadde blitt offentliggjort ennå.

Core Security krediterte forskerne Francisco Falcon, Nahuel Riva, Martin Rocha, Juan Cotta, Pablo Santamaria og Fernando Miranda for å finne problemene. >