Monday, July 15, 2024
BlogFeaturedΚάμερες

“Κενό” ασφαλείας στις κάμερες Insta360 επιτρέπει σε οποιονδήποτε να κατεβάσει τις φωτογραφίες σας

Νωρίτερα φέτος, μια σημαντική ευπάθεια στο λογισμικό της κάμερας Insta360 ανακαλύφθηκε από χρήστες στο Reddit. Με λίγα λόγια, επιτρέπει σε οποιονδήποτε να συνδεθεί σε οποιαδήποτε κάμερα Insta360 και να κατεβάσει τις φωτογραφίες. Επτά μήνες αργότερα και μεγάλο μέρος του ζητήματος παραμένει άλυτο, διαβάζουμε στο PetaPixel.

Τον Ιανουάριο, ο χρήστης του Reddit cmdr_sidhartagautama δημοσίευσε μια λεπτομερή ανάλυση μιας ευπάθειας που ανακάλυψε στην κάμερα Insta360 One X2. Συνειδητοποίησε ότι έξω από το κουτί, η κάμερα θα εκπέμπει πάντα ένα σήμα Wi-Fi με το όνομα “ONE X2 XXXXXX.OSC”, όπου το “X” αντιπροσωπεύει τους τελευταίους χαρακτήρες του σειριακού αριθμού οποιασδήποτε κάμερας.

Οποιοσδήποτε στην εμβέλεια της κάμερας θα μπορούσε να ανακαλύψει αυτό το δίκτυο στον φορητό υπολογιστή ή το smartphone του, αλλά πιθανότατα δεν ανησυχούσε, καθώς απαιτούσε ακόμα κωδικό πρόσβασης. Ωστόσο, ο cmdr_sidhartagautama επεσήμανε ότι ο κωδικός πρόσβασης στις κάμερες Insta360 δεν είναι μόνο πάντα ο ίδιος σε κάθε κάμερα, αλλά και δεν μπορεί να αλλάξει.

«Αυτή η κάμερα έχει περισσότερες τρύπες από το ελβετικό τυρί. Ειλικρινά, δεν θυμάμαι να έχω δει ένα καταναλωτικό προϊόν – με εμβέλεια τόσο μεγάλη όσο το Insta360 – τόσο ανασφαλές όσο αυτό. Πρόκειται για επίπεδα CTF για αρχάριους σπασμένους… και σε πολλά σημεία», γράφει.

Σε αυτήν την αναφορά, ο cmdr_sidhartagautama μπόρεσε να συνδεθεί με την κάμερα και να δει όλο το περιεχόμενο σε αυτήν χρησιμοποιώντας ένα πρόγραμμα περιήγησης υπολογιστή και μια συγκεκριμένη διεύθυνση URL. Επέδειξε επίσης την ικανότητα να αποκτήσει πρόσβαση root στην κάμερα μέσω Wi-Fi.

«Θα ήταν ασήμαντο για έναν χάκερ να κάνει μια επίθεση με αυτοκίνητο σε αυτές τις κάμερες, εισάγοντας κακόβουλο λογισμικό στην κάρτα SD, το οποίο αργότερα θα διαβαζόταν από τον υπολογιστή της εργασίας/οικίας σας… στην πραγματικότητα, είμαι σίγουρος ότι θα μπορούσε να είναι wormable, χρησιμοποιώντας μια κάμερα για να επιτεθεί σε μια άλλη με ένα καταρράκτη εφέ», ισχυρίζεται ο cmdr_sidhartagautama.

Τι αναφέρει η εταιρεία:

«Όντως το γνωρίζουμε και εργαζόμαστε για την ενημέρωση του υλικολογισμικού και της εφαρμογής τους τελευταίους μήνες με βάση τα σχόλια των χρηστών από την κοινότητά μας», λέει ένας εκπρόσωπος του Insta360.

«Προς το παρόν, ο κατάλογος_list έχει ήδη τερματιστεί και δεν είναι πλέον δυνατή η πρόσβαση στο περιεχόμενο της κάμερας μέσω του προγράμματος περιήγησης. Επίσης, ενημερώνουμε την εφαρμογή και το υλικολογισμικό για να επιτρέψουμε στους χρήστες να αλλάξουν τον δικό τους κωδικό πρόσβασης για να βελτιώσουν την ασφάλεια. Αυτή η αλλαγή θα ανακοινωθεί στους χρήστες στις σημειώσεις έκδοσης εφαρμογής/υλικολογισμικού μόλις εφαρμοστεί.

“Θα φροντίσουμε να παρακολουθήσουμε και να εφαρμόσουμε την ενημέρωση εφαρμογής/υλικολογισμικού σε εύλογο χρονικό διάστημα.”

 

Spread the love