Hakiranje ne staje, pogođeni milijuni IoT uređaja

Ako internetski napadi nisu dovoljni da bi korisnici osjećali nesigurnost, tu su bugovi koji omogućavaju izvođenje napada pružanjem uređaja na planju. Naime, posljednji bug koji su stručnjaci pronašli i nazvali ga Devil's Ivy izaziva opasnost za milijune IoT (Internet stvari) uređaja zbog propusta koji se nalazio u dijelu koda poznatijem kao gSOAP.

Aktivira se kad korisnik šalje poveće XML fajlove na ranjivi web server sustava i tad može doći do ozbiljnih problema. Srećom, sve su na vrijeme otkrili u kompaniji Senrio, koja se bavio IoT zaštitom.

I to potpuno slučajno, isprobavali su upravljanje na daljinu i konfiguraciju usluga koje se nude za M3004 kameru, iza koje stoji Axis Communications. Primijetili su određeni glitch svaki put kad bi koristili uslugu te su odlučili provjeriti u detalje o čemu se radi. Imali su što za vidjeti...

Problem se nalazi u samom kodu, koji je inače dio web usluge otvorenog tipa pod nadzorom Genivije, a poslužio je Axisu kako bi uspio izvesti daljinsko upravljanje kamerom. Nažalost, uspio je mnogo više od toga i nadajmo se da nitko prije Senria nije shvatio o čemu se točno radi. Jer, kamere koje Axis proizvodi najčešće su nadzorne i imati pristup njima otvara razne mogućnosti (cyber) kriminalcima.

Dakle, Senrio je uspio korištenjem propusta konstantno iznova pokretati kameru, tako da nije mogla biti uključena ni sekunde. I ne samo to, uspjeli su promijeniti mrežne postavke kamere i blokirati vlasniku vizualni dio. Ako već to nije dovoljno, uspjeli su i postaviti kameru na tvorničke postavke.

„Bug je potvrđen i nalazi se u 249 od 251 modela naših nadzornih kamera“, kratko su naveli iz Axisa te odmah u "opticaj" pustili firmware kojim se bug uspio riješiti.