Blog technologiczny Web-News.pl

Masz kamerę Xiongmai? Wyłącz ją natychmiast!

Właściciele produkowanych przez Hangzhou Xiongmai Technology urządzeń monitorujących zachęcani są do natychmiastowego wycofania ich z użytku. Jest to konsekwencją ustaleń analityków, którzy znaleźli w sprzęcie wiele usterek umożliwiających osobom niepowołanym szpiegowanie użytkowników (w tym podgląd video czy też wykorzystywanie wbudowanego mikrofonu do podsłuchiwania rozmów). Obarczone wadą urządzenia mogą być również pomocne podczas ataku DDoS (Distributed Denial of Service).

Przy uwierzytelnianiu dostępu do kamer stosowane są domyślne poświadczenia. Po zakończeniu konfiguracji sprzętu użytkownicy nie są zachęcani do zmiany hasła. W rezultacie każdy może, za pośrednictwem chmury XMEye, połączyć się z milionami urządzeń Xiongmai i oglądać strumienie video, zmieniać konfigurację sprzętu, posłużyć się kamerą w ataku DDoS, a nawet dokonać złośliwej aktualizacji oprogramowania układowego.

Analitycy przewidują, że ujawnione usterki wykorzystane zostaną do takich ataków, jak:

 

 „Zaleca się, by korzystając z narzędzia IoT Inspector przeskanować sieć i skonfrontować wykrytych tak producentów urządzeń (OEM) z czarną listą. Urządzenia pochodzące od wykazanych na czarnej liście producentów powinny być natychmiast wykluczone z użycia” komentuje Błażej Pilecki, Bitdefender Product Manager z firmy Marken.

Ostrzeżenie wydane przez SEC Consult jest bardzo pilne. Markowe urządzenia z elektroniką i oprogramowaniem układowym firmy Xiongmai sprzedawane jest przez ponad 100 dostawców. Szacuje się, że obecnie używa się około 9 milionów takich urządzeń. Pełna lista sprzedawców dostępna jest w poradniku SEC Consult.

„Zalecamy całkowite zaprzestanie używania urządzeń Xiongmai i Xiongmai OEM. Proszę też zwrócić uwagę na trudności związane z identyfikacją urządzeń Xiongmai. Jeżeli chodzi o poziom zabezpieczeń oferowanego sprzętu, to firma ma tutaj niechlubną historię, w czym swoją rolę odegrał Mirai i inne botnety IoT. Wykryte i opublikowane w 2017 r. luki w zabezpieczeniach pozostają niezałatane nawet w najnowszych wersjach oprogramowania układowego” – ogłosił SEC Consult.

Exit mobile version