La cámara inalámbrica D-Link DCS-930L, diseñada para vigilancia del hogar u oficina, contiene una vulnerabilidad grave. Con su ayuda, los atacantes pueden ejecutar código arbitrario en el dispositivo, restablecer la contraseña e interceptar el video transmitido.
La cámara D-Link DCS-930L está diseñada para los usuarios normales, y no requiere una configuración compleja o instalación. Utilizando el servicio en la nube mydlink la cámara de vídeo transmite en Wi-Fi, se puede ver desde cualquier computadora, teléfono inteligente o tableta con acceso a Internet. Y tras algún movimiento o sonido observado, el usuario es notificado por correo electrónico.
La vulnerabilidad fue encontrada por Senrio, especializado en materia
de seguridad de Internet. Encontraron que el componente del firmware de
la cámara, que analiza el comando a distancia puede desbordar el búfer y
colocar la línea de red resultante en la parte superior de la pila de
llamadas (call stack).
En este punto el atacante puede ejecutar codigo arbitrario incluyendo
reiniciar la contraseña, por lo que una contraseña fuerte no te salva
de este fallo en el que D-Link aun continua trabajando.
A juzgar por el número de reseñas en
la página de la cámara en la tienda en línea Amazon, D-Link DCS-930L "es un producto muy popular, por lo que el número de víctimas potenciales
es muy alto". En Senrio no excluye que pueda ser aún más, si el mismo
componente se incluye en el firmware de otras cámaras D-Link.
No hay comentarios:
Publicar un comentario