По словам аналитиков компании ESET, которые провели исследование IoT-устройств, камеры D-Link DCS-2132L имеют множественные уязвимости, позволяющие неавторизованным лицам получить доступ к устройству.
Самая серьезная проблема безопасности D-Link DCS-2132L кроется в незашифрованной передаче видеопотока. Причем отсутствие шифрования наблюдается на всех этапах передачи — между IP-камерой и облаком, а также между облаком и приложением на стороне пользователя.
Благодаря этой бреши злоумышленник может осуществить атаку «Человек посередине» (man-in-the-middle, MitM), что откроет возможность шпионажа за пользователем.
Другая серьезная проблема этих камер была обнаружена в плагине для браузера «myDlink services». Он представляет одну из форм приложения для просмотра видео. Другая форма — мобильные приложения, которые исследователями ESET не анализировались.
Вышеупомянутый плагин управляет созданием TCP-туннеля и повторным воспроизведением видео- и аудиодорожек пользователю. Также «myDlink services» отвечает за отправку запросов через туннель.
«Уязвимость плагина представляет серьезную опасность для безопасности камер, так как позволяет атакующим подменить легитимную прошивку собственной версией, содержащей бэкдор», — пишут специалисты ESET.
Антивирусная компания связалась с разработчиком камер, который выпустил патчи для бреши в плагине. Однако отсутствие шифрования в процессе передачи все еще актуально.
