ESET: ثغرة في كاميرا D-Link تفتح الباب للتجسس على صاحبها
كشف بحث جديد أجرته شركة “إسيت” ESET الأمنية أن كاميرا D-Link السحابية تعاني من العديد من الثغرات الأمنية، التي يمكن أن تفتح باب التجسس للجهات غير المرغوب فيها.
واستنادًا إلى المعلومات التي كشف عنها بحث “إسيت لإنترنت الأشياء” ESET IoT، فقد خففت الشركة المصنعة بعض نقاط الضعف المبلغ عنها، ولكن لا يزال البعض الآخر يلوح في الأفق.
وقال الباحث (ميلان فرانيك) – المسؤول بمختبر “إسيت” للأبحاث في العاصمة السلوفاكية، براتيسلافا: إن المشكلة الأكثر خطورةً في الكاميرا السحابية D-Link DCS-2132L هي الإرسال غير المشفر لبث الفيديو. ويُشغَّل بطريقة غير مشفرة عبر كلا الوصلتين – بين الكاميرا والسحابة، وبين السحابة وتطبيق العرض من جانب المستخدم – مما يوفر أرضية خصبة لهجمات “الرجل في الوسط” (MitM) ويسمح للمتطفلين بالتجسس على بث الفيديو للضحايا.
ووفقًا للبحث، فقد أُخفيت مشكلة خطيرة أخرى عُثر عليها في الكاميرا ووُجدت في متصفح الويب “خدمات myDlink”. وهذا أحد أشكال تطبيق العرض المتاحة للمستخدم؛ وكذلك تطبيقات أخرى، مثل تطبيقات الأجهزة المحمولة، التي لم تكن جزءًا من بحث “إسيت”.
وأوضحت الشركة أن المكون الإضافي لمتصفح الويب يدير إنشاء نفق TCP، وتشغيل الفيديو المباشر في متصفح المستخدم، ولكنه أيضًا مسؤول عن إعادة توجيه طلبات تدفقات بيانات الفيديو والصوت، من خلال النفق، والذي يستمع على منفذ أُنشئ ديناميكيًا على مضيف محلي.
ويقول فرانيك: “يمكن أن يكون لضعف المكونات الإضافية عواقب وخيمة على أمان الكاميرا، إذ أتاح للمهاجمين استبدال البرامج الثابتة الشرعية بنسختهم المزورة”.
وأبلغت “إسيت” عن كافة الثغرات الموجودة للشركة المصنعة. ومنذ ذلك الحين أُصلحت بعض الثغرات الأمنية – لا سيما في المكون الإضافي myDlink – عن طريق التحديث، ولكن لا تزال هناك مشكلات متعلقة بالإرسال غير المشفر.
