Более 120 тыс. подключенных в интернету камер уязвимы ко взлому, предупредил специалист компании Bitdefender Алекс Балан (Alex Balan). По словам исследователя, две модели камер китайского производителя Shenzhen Neo Electronic (NIP-22 и iDoorbell) содержат уязвимости, позволяющие удаленно получить доступ к видеопотоку или получить полный контроль над устройствами, что предоставит возможность создания IoT-ботнета, включающего порядка 150 тыс. гаджетов.
Балан попытался проинформировать производителя камер об уязвимостях, но так и не получил ответ от компании. В настоящее время проблемы остаются неисправленными, и не исключено, что никогда не будут устранены, отметил исследователь.
Первая уязвимость заключается в том, что заводские логин и пароль в моделях NIP-22 и iDoorbell легко можно угадать и с их помощью удаленно получить доступ к камере. Согласно данным поисковой системы Shodan, на данный момент в интернете доступны порядка 130 тыс. уязвимых камер, взломать которые можно, используя комбинации user/user, guest/guest.
Вторая проблема представляет собой уязвимость переполнения буфера, позволяющую удаленно получить контроль над устройством и превратить его в «зомби».
Как утверждает эксперт, камеры других производителей также могут содержать аналогичные уязвимости, так как они используют одинаковую прошивку. Балан не раскрыл информацию, о каких торговых марках идет речь.

Источник: securitylab.ru