Guardzilla xavfsizlik kameralaridagi zaifliklar foydalanuvchilarning xavfsizligini xavf ostiga qo’yadi
Asosiy muammo – hatto professional bo’lmagan odam ham olib tashlashi mumkin bo’lgan tikilgan kalitlarning mavjudligi
0DayAllDay jamoasi mutaxassislari mashhur Guardzilla uy kuzatuv tizimidagi zaifliklarni aniqladilar, bu esa uchinchi shaxslarga foydalanuvchi video yozuvlariga kirish imkonini beradi. Asosiy muammo qattiq kodlangan kalitlarning mavjudligidadir, ularni hatto texnik bo’lmagan foydalanuvchi ham chiqarib olishi mumkin, chunki qurilmaning asosiy paroli eskirgan, osonlikcha buzib tashlanadigan algoritm bilan shifrlangan. Mutaxassislarning fikriga ko’ra, har bir videokamera Amazon Web Services (AWS) bulutidagi Guardzilla serverlariga video yuklash uchun bir xil kalitlar to’plamidan foydalanadi. Har kim ushbu kalitlardan kompaniyaning 13 ta Amazon S3 chelaklariga va shuning uchun mijozlarining ma’lumotlariga avtorizatsiya qilish va kirish uchun foydalanishi mumkin. Tadqiqotchilarga Guardzilla dasturiy ta’minotini himoya qilish uchun ishlatiladigan sakkiz belgili parolni buzish uchun atigi ikkita iste’molchi grafik kartasi va uch soat kerak bo’ldi.
Yuqoridagi muammodan tashqari, tadqiqotchilar OpenSSLning eskirgan versiyasidan foydalanish bilan bog’liq yana ikkita zaiflikni aniqladilar va qurilmalar Guardzilla serverlariga «katta hajmdagi» trafik yuborayotganini aniqladilar, ammo sababini aniqlay olmadilar.
Kompaniya muammolar haqida shu yilning sentyabr oyida xabardor qilingan edi, ammo o’shandan beri deyarli to’rt oy davomida tadqiqotchilarning hisobotiga javob bermadi yoki yangi dasturiy ta’minot versiyalarini chiqarmadi.
TechCrunch jurnalistlari ham Guardzilla vakillari bilan bog’lanishga harakat qilishdi, ammo muvaffaqiyatsizlikka uchradilar. Biroq, kompaniya advokati izoh berish so’roviga javoban Guardzilla hech qanday bildirishnoma olmaganini va barcha «ayblovlar asossiz» ekanligini aytdi. Biroq, u tadqiqotchilarning qaysi bayonotlari noto’g’ri ekanligini aniqlamadi.
