Уязвимости в охранных камерах Guardzilla ставят под угрозу безопасность пользователей
Основная проблема заключается в наличии вшитых ключей, которые может извлечь даже непрофессионал.
Специалисты команды 0DayAllDay раскрыли информацию об уязвимостях в популярной домашней системе видеонаблюдения Guardzilla, представляющих сторонним лицам возможность получить доступ к видеозаписям пользователей. Основная проблема заключается в наличии вшитых ключей, которые может извлечь даже непрофессионал, поскольку пароль суперпользователя устройства зашифрован с помощью устаревшего легко взламываемого алгоритма. По данным экспертов, каждая видеокамера использует один и тот же набор ключей для выгрузки видео на серверы Guardzilla в облаке Amazon Web Services (AWS). Любой человек может воспользоваться ключами для авторизации и доступа к 13 бакетам Amazon S3 компании и, соответственно, данным ее клиентов. Исследователям понадобились всего две потребительские видеокарты и три часа, чтобы взломать восьмизначный пароль, использующийся для защиты прошивки Guardzilla.
Помимо вышеуказанной проблемы, специалисты обнаружили еще две уязвимости, связанные с использованием устаревшей версии OpenSSL, и выяснили, что устройства отправляют «большой объем» трафика на серверы Guardzilla, но не смогли понять причину.
Компания была проинформирована о проблемах еще в сентябре текущего года, однако за прошедшие почти четыре месяца так и не отреагировала на сообщение исследователей и не выпустила новые версии прошивки.
Журналисты издания TechCrunch также попытались связаться с представителями Guardzilla, но безрезультатно. Зато на запрос о комментарии ответил юрист компании, который заявил, что Guardzilla не получала никаких уведомлений, и все «обвинения являются беспочвенными». Впрочем, он не пояснил, какая именно информация исследователей не соответствует действительности.