EZVIZ Zapis wideo w chmurze EZVIZ
Jeśli prowadzisz bank i korzystasz z kamery IP z D-Link, możesz na to zwrócić uwagę.
Wiele opartych na protokole IP kamer wideo D-Link ma luki w oprogramowaniu, które mogłyby umożliwić atakującemu przechwycenie strumienia wideo, zgodnie z badaczami bezpieczeństwa.
Core Security, firma z Bostonu specjalizująca się w wykrywaniu i analizie luk w zabezpieczeniach, opublikowała w poniedziałek szczegóły pięciu luk w zabezpieczeniach w oprogramowaniu D-Link, które jest opakowane w co najmniej 14 swoich produktów.
[Czytaj dalej: Najlepsze zabezpieczenia przeciwprzepięciowe dla kosztownego sprzętu elektronicznego]D-Link tworzy różnorodne kamery internetowe, które sprzedaje dla przedsiębiorstw i konsumentów. Kamery mogą rejestrować obrazy i wideo i być kontrolowane za pomocą internetowych paneli kontrolnych. Kanały na żywo można wyświetlać na niektórych urządzeniach mobilnych.
Jeden z wrażliwych modeli, DCS-5605 / DCS-5635, ma funkcję wykrywania ruchu, którą D-Link sugeruje w swoich materiałach marketingowych, która byłaby dobra dla banków, szpitale i biura
Naukowcy Core Security odkryli, że możliwe jest uzyskanie dostępu bez uwierzytelniania strumienia wideo na żywo za pośrednictwem RTSP (protokół transmisji w czasie rzeczywistym), jak również wyjście ASCII strumienia wideo w modelach, których dotyczy problem. RTSP jest protokołem na poziomie aplikacji do przesyłania danych w czasie rzeczywistym, według Internet Engineering Task Force.
Naukowcy znaleźli również problem z internetowym panelem kontrolnym, który pozwoliłby hakerowi na wprowadzanie dowolnych poleceń. W innym błędzie D-Link zakodowane na stałe poświadczenia logowania do oprogramowania układowego, które "skutecznie służy jako backdoor, który umożliwia zdalnym napastnikom dostęp do strumienia wideo RTSP," Core Security powiedział w swoim doradztwie.
Szczegóły techniczne są opisane w poście w sekcji Seclists.org w pełnej jawności, wraz z listą znanych produktów, których niektóre z nich zostały wycofane przez D-Link.
Core Security zgłosiło D-Link problemu 29 marca, zgodnie z dziennikiem interakcji dwóch firm zawartych w publikacji na temat pełnego ujawnienia. Dziennik, napisany przez Core, zawiera ciekawe szczegóły na temat tego, jak obie firmy korespondowały i najwyraźniej miał kilka nieporozumień.
Według Core, D-Link powiedział, że miał "niepublikowany program nagród dla dostawców bezpieczeństwa". Wiele firm ma programy błędów, które nagradzają naukowców gotówką lub innymi zachętami za znajdowanie problemów bezpieczeństwa w swoich produktach i informowanie ich przed publicznym ujawnieniem szczegółów.
Około 20 marca, D-Link poprosił, aby Core Security podpisało "memo zrozumienia" w ramach programu, który Core odrzucił. Warunki noty nie zostały opisane. Core powiedział D-Link, że "otrzymywanie pieniędzy od sprzedawców może wpływać negatywnie na raport."
Obie firmy miały inne niewielkie wsparcie. D-Link powiedział Core, że wyda poprawki i wskazówki, aby rozwiązać problemy na forum pomocy D-Link. D-Link czekałby na miesiąc przed publicznym ogłoszeniem.
Core Security nie spodobał się ten pomysł. W ubiegłą środę Core poprosił D-Link "o wyjaśnienie dotyczące daty wydania D-Link i informuje, że wydawanie poprawek do uprzywilejowanej zamkniętej grupy i / lub zamkniętego forum lub listy jest niedopuszczalne."
Forum D-Link ma pole logowania, ale wygląda na to, że każdy może przeglądać wiele postów bez rejestracji. D-Link wrócił dzień później i powiedział, że łatki są gotowe i zostaną opublikowane na swojej stronie internetowej "w ciągu kilku następnych dni", napisał Core.
D-Link nie odpowiedział natychmiast na prośby o komentarz. Na forum pomocy technicznej firmy nie było jasne, czy aktualizacje oprogramowania układowego zostały jeszcze publicznie opublikowane.
Core Security przyznał swoim badaczom, Francisco Falconowi, Nahuelowi Riva, Martinowi Rocha, Juanowi Cotta, Pablo Santamaria i Fernando Mirandzie, że znaleźli problemy.
Apple oferuje naprawę oprogramowania układowego dla Linii pionowej MacBooka Pro Problem z linią pionową
Apple odpowiada na skargi dotyczące problemów z linią pionową MacBooka Pro z naprawą oprogramowania układowego.
BlackBerry Storm dostarczy aktualizację oprogramowania układowego
Aktualizacja bezprzewodowa zapewni poprawki prędkości i stabilności oraz ulepszone użycie klawiatury.
Aktualizacja oprogramowania układowego Palm naprawia wiele błędów
WebOS 1.2.1 poprawia przeglądanie, wyszukiwanie, obsługę plików i oferuje kilka innych usprawnień.