«Умные» видеокамеры Amazon Blink уязвимы ко взлому

«Умные» видеокамеры Amazon Blink уязвимы ко взлому

Эксплуатация уязвимостей позволяет злоумышленникам удаленно получить полный контроль над устройствами.

В камерах видеонаблюдения Blink XT2 компании Amazon обнаружено 7 опасных уязвимостей. Их эксплуатация позволяет злоумышленникам удаленно получить полный контроль над устройствами. По словам исследователей из компании Tenable, злоумышленники могут просматривать записанный камерой видеоматериал, прослушивать аудио и перехватить контроль над устройством.

Наиболее серьезной является уязвимость внедрения команд, связанная с механизмом обновления модуля синхронизации (CVE-2019-3984) в конечных точках связи Blink. При проверке обновлений устройство сначала получает из интернета скрипт обновления (sm_update), а затем запускает содержимое данного скрипта без какой-либо очистки. Таким образом скрипт обновления удаленно передает информацию напрямую функции os.execute() без подтверждения.

«Злоумышленник может осуществить MitM-атаку путем отравления кэша или взлома, чтобы изменить содержимое данного скрипта по своему усмотрению», — пояснили эксперты.

Следующая уязвимость (CVE-2019-3989) связана с некорректной проверкой функции get_network (). Проблема связана с отсутствием проверки входных данных get_networks (), что может позволить удаленно выполнить код с правами суперпользователя.

По словам специалистов, обнаруженные уязвимости легче эксплуатировать, если злоумышленник уже подключен к атакуемой сети.

Исследователи также обнаружили пять других, менее серьезных уязвимостей. Четыре из них (CVE-2019-3985, CVE-2019-3986, CVE -2019-3987, CVE-2019-3988) связаны с параметрами конфигурации Wi-Fi в Blink, а именно отсутствием проверки пользовательских данных в некоторых внутренних скриптах управления. Поскольку параметры передаются и исполняются без должной проверки, это предоставляет возможность внедрить команду с правами суперпользователя.

Эксперты сообщили Amazon об обнаруженных уязвимостях, и компания выпустила исправление, устраняющее данные проблемы. Пользователям настоятельно рекомендуется обновиться до версии прошивки 2.13.11 или более поздней.


Один хакер может причинить столько же вреда, сколько 10 000 солдат! Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!