Nově objevené chyby zabezpečení v domácích bezpečnostních kamerách Blue (dříve LifeShield) společnosti ADT mohly být zneužity k odcizení zvukových i obrazových dat.

LifeShield získala společnost ADT Inc. se sídlem na Floridě v roce 2019, přičemž domácí bezpečnostní řešení společnosti Lifeshield se od ledna 2020 přejmenovala na Blue.

Bezpečnostní problémy v kameře zvonku umožňují útočníkovi získat heslo správce kamery pouhým poznáním její adresy MAC, která se používá k jedinečné identifikaci zařízení.

Vkládáním příkazů lokálně získáte přístup root a přistupujte ke zvukovým a obrazovým kanálům pomocí nechráněného serveru RTSP (Real-Time Streaming Protocol).

Zvonek je navržen tak, aby pravidelně odesílal zprávy prezenčního signálu na „cms.lifeshield.com“, obsahující informace, jako je MAC adresa, SSID, místní IP adresa a síla bezdrátového signálu. Server na oplátku odpoví ověřovací zprávou, kterou lze triviálně obejít vytvořením falešného požadavku pomocí adresy MAC zařízení.

Nezabezpečený server RTSP bez jakýchkoli přihlašovacích údajů by mohl být zneužit pro přístup k videím na adrese „rtsp: //10.0.0.108: 554 / img / media.sav“ pomocí jakéhokoli přehrávače médií, jako je VLC.

Zatímco na produkční servery a na všech 1 500 ovlivněných zařízení byly použity opravy, aniž by bylo možné snadno ověřit, zda uživatelé kamer nainstalovali aktualizace firmwaru, společnost Bitdefender se rozhodla odložit zveřejnění o více než pět měsíců. Co by měli uživatelé kamer udělat? Předně je to pečlivý výběr dodavatelů IoT s ohledem na zásady aktualizace zabezpečení jejich produktů, provést změnu výchozích hesel, rozdělení IoT do různých podsítí a dokonce také provádět pravidelnou kontrolu aktualizací firmwaru.