Миллионы подключенных к интернету камер видеонаблюдения уязвимы к перехвату видео

Материал из Викиновостей, свободного источника новостей
Перейти к навигации Перейти к поиску

16 июня 2021 года

<dynamicpagelist>

category = Опубликовано category = Информационная безопасность notcategory = Не публиковать notcategory = Ожидаемые события по датам notcategory = Архивные новости notcategory=Викиновости коротко count = 18 stablepages = only suppresserrors = true namespace = Main addfirstcategorydate = true ordermethod = created </dynamicpagelist>

Wikinews-logo-ru.svg

Миллионы камер видеонаблюдения содержат серьезную уязвимость в программном обеспечении, позволяющую посторонним перехватывать видеопоток.

По шкале оценивания опасности CVSS v3 уязвимость (CVE-2021-32934) получила оценку 9,1 балла из максимальных 10. Проблема затрагивает использующийся в ПО некоторых камер видеонаблюдения компонент ThroughTek от стороннего производителя. Этот же компонент используют также ряд производителей IoT-устройств, в том числе видеонянь и устройств для отслеживания домашних питомцев.

Компонент ThroughTek представляет собой пиринговый (P2P) набор средств разработки ПО (SDK), обеспечивающий доступ к видео- и аудиопотоку через интернет.

Уязвимость пока не эксплуатируется хакерами. Тем не менее, последствия ее потенциальной эксплуатации могут быть весьма плачевными, и разработчик уже выпустил исправление. Перехват видео с камер видеонаблюдения, использующихся на промышленных предприятиях или объектах критической инфраструктуры, может привести к похищению конфиденциальных бизнес-данных, промышленной тайны, планировки зданий, которую затем можно использовать в физических атаках, а также данных сотрудников. Последствия перехвата видеопотока для домашних пользователей и объяснять не надо.

Уязвимые версии:

Все версии ThroughTek до 3.1.10;

Версии SDK с тегом nossl;

Прошивка устройств, в которых не используется AuthKey для IOTC-соединения;

Прошивка устройств, в которых используется модуль AVAPI без включенного механизма DTLS;

Прошивка устройств, в которых используется P2PTunnel или RDT.


Что делать:

В версии SDK 3.1.10 или более поздних включить Authkey и DTLS;

В версии SDK 3.1.10 или более ранних обновить библиотеку до версии 3.3.1.0 или 3.4.2.0 и включить Authkey/DTLS.

К сожалению, конечным пользователям придется

дожидаться, пока производители камер видеонаблюдения и других затронутых
проблемой устройств не выпустят обновления. Поскольку в течение долгих лет множество
производителей интегрировали библиотеку ThroughTek со множеством устройств, отследить
все затронутые продукты невозможно.
 

Источники[править]

Cartoon Robot.svg
Эта статья загружена автоматически ботом NewsBots и ещё не проверялась редакторами Викиновостей.
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
 

Комментарии:Миллионы подключенных к интернету камер видеонаблюдения уязвимы к перехвату видео