Problem dla milionów

Raport opublikowany przez BleepingComputer ostrzega przed krytycznymi lukami w zabezpieczeniach, które dotyczą dziesiątków milionów urządzeń na całym świecie. Zagrożone są produkty korzystające z chmury ThroughTek, służącej głównie do obsługi kamer wideo, nadzoru i automatyki domowej. Poziom zagrożenia oszacowano na 9,6 w 10-stopniowej skali.

Atak można przeprowadzi zdalnie, a haker jest w stanie uzyskać dostęp do ścieżek audio oraz wideo. W skrajnych przypadkach da się nawet całkowicie przejąć kontrolę nad urządzeniem. Luka została odkryta już pod koniec 2020 roku, ale ze względów bezpieczeństwa badacze poinformowali o niej tylko operatora platformy, by przygotował poprawki przed ujawnieniem sprawy.

Droga na skróty

Problem polegał na tym, że rejestracja urządzenia w sieci wymaga wyłącznie jego unikatowego identyfikatora (UID). Naukowcy odkryli jednak, że UID jest przekazywany aplikacji przez interfejs API, hostowany przez producenta urządzenia. Znając UID systemu docelowego można zatem rejestrować dowolne urządzenia i pobrać informację na temat prób logowania do niego. W ten sposób dużo łatwiej jest poznać hasło.

Platforma ThroughTek obsługuje 83 miliony urządzeń i miliard połączeń każdego miesiąca. By chronić się przed luką, warto zaktualizować oprogramowanie, zmienić hasła i korzystać z zaufanych sieci.

fot. Pixabay