Se fijó en un modelo de menos de 30 euros de una marca china, llamada Besder, una auténtica desconocida para el gran público. “Compré de las primeras que me salió tras la búsqueda. Era barata, pero era pintona. Era bonita, grababa en 4K…”, recuerda este especialista, que trabaja en el Red Team de la consultora Entelgy Innotec Security Cuando recibió el pedido, no tardó en realizar el examen al que acostumbra. "La enchufé y tardé 20 minutos en asustarme por lo que encontré y porque, entre otras cosas, enviaba tráfico a servidores chinos"
|
etiquetas: cámara , aliexpress , besder , red team , vulnerabilidad
Si el usuario es admin y password admin por defecto... pues tampoco es mortal. La cambias e ya.
Y que muchos fabricantes usen una misma app no tiene por qué ser necesariamente malo: es más fácil que esa app sea muy robusta y se actualice rápido con cualquier vulnerabilidad que otra específica que una vez sale al mercado y se agota el producto nadie va a actualizar la app nunca más. Puedo dar casos de alguna cámara alemana que así se ha quedado.
Igual algo más
El agujero por el que este experto logró colarse estaba relacionado con el QR Captcha que se debía escanear con la aplicación móvil para confirmar que el usuario estaba intentando recuperar sus credenciales. "El nombre de usuario necesario para llevar a cabo este paso era fácil de obtener, ya que en la mayoría de los casos, a menos que se cambie, es una palabra como admin"
Supongo que por esa misma regla de tres Linux tiene un enorme fallo crítico de seguridad ya que el administrador por defecto se llama root.
#Edit: Del reporte original:
Cuando se activa el Captcha QR, es posible evitar dicha verificación, lo cual permite recibir consultas autenticadas dirigidas a las funcionalidades administrativas de las cámaras IP de BESDER que emplean VideoPlayTool para establecer comunicación con el cliente al acceder al panel web de la cámara y la aplicación XMEYE.
[...]
El fabricante ofrece una aplicación para controlar y visualizar la cámara desde un dispositivo móvil. Para el acceso remoto, simplemente se requiere el nombre de usuario de la cámara (por defecto 'admin') y el número de serie, que puede obtenerse con la prueba de concepto mencionada más abajo en la publicación.
Todas las webcams wifi domésticas a las que puedas acceder desde fuera de casa envían las imágenes a servidores externos. Pero igual que todos tus datos los tiene Apple y Google. O que los ficheros que subes a La nube se abren misteriosamente
Son muy cómodas porque no tienes que abrir puertos ni salir de cgnat, pero no las tengo dentro de casa
Si quieres poder acceder sin estar abriendo puertos en el router, la única forma es pasar por un servidor externo. (Es parte del costo de la ignorancia: es difícil, no quieres aprender, alguien te da una solución ya tomas sin pensarlo porque no comprendes lo que implica)
enviar datos a servidores fuera de la UE, resulta delicado
No sería ilegal si los datos no se guardan. Por un lado no tiene sentido que lo guarden. Por otro lado si quieren hacerlo, lo harán te guste o no. Pregúntate si la NSA si no tiene datos europeos guardados ilegalmente.
El igual algo más viene por la parte que no leí
Más preocupante es que venga de serie con una vulnerabilidad.
Lo gracioso de ésta, es que pilla conexión a internet aunque en tu red no haya dhcp incluso si configuras la red a mano con una puerta de enlace errónea, la cámara encuentra el camino hacia internet.
Estuve curioseando y vi que testeaba automáticamente rangos de red conocidos.
Incluso si encontraba una red wifi sin cifrado, se conectaba automáticamente.
Lo de enviar tráfico a china, es obvio porque usan la vpn del fabricante para acceso desde las apps.
Y fue uno de los motivos por los que devolví la conga y no probé con otros modelos, Aunque me gustase el funcionamiento remoto no me gustaba para nada depender de un servidor externo que a saber durante cuánto tiempo iba a funcionar
Por ejemplo buscar: intitle:”Live View / – AXIS"
Si el usuario es admin y password admin por defecto... pues tampoco es mortal. La cambias e ya.
Y que muchos fabricantes usen una misma app no tiene por qué ser necesariamente malo: es más fácil que esa app sea muy robusta y se actualice rápido con cualquier vulnerabilidad que otra específica que una vez sale al mercado y se agota el producto nadie va a actualizar la app nunca más. Puedo dar casos de alguna cámara alemana que así se ha quedado.
Después una actualiza la aplicación y otros no se enteran, o bien en primero desaparece y el resto no mantiene la aplicación. Por lo que muy seguras no diría que son.
Lo he visto con SAIs, donde la clave por defecto era la misma en varios modelos de distintos fabricantes, y en cámaras IP
Yo tengo también dispositivos GPS Sinotrack, y por mucho que cambies los datos a donde enviar las marcas de posición, siempre las envía también a china. Me dá un poco igual, pero vamos, ya era lo esperado.
Acobo de verlo en HN, es un firmware alternativo para camaras IP, soporta bastantes. No lo he probado (aun)
Edit : No habia visto el comentario , a esto se refiere #5 (OpenIPC)
El contenido de la noticia es interesante pero menudo clickbait más cochambroso e innecesario.
El problema no es que la cámara se conecte a china, el problema es que alguien consiga fácilmente usuario admin, haga lo que sea que se pueda hacer con ese admin y se aproveche para después hacer lo que sea delante de esas cámaras.
Encima los puedes integrar fácilmente con home assistant, Google home, Alexa, etc.
Y son apps que se actualizan continuamente y dudo mucho que tengan graves fallos de seguridad como los que en ocasiones han descubierto en Apple y nadie se rasga las vestiduras.
Ya no solo por el tema ciberseguridad, que también (aunque en ocasiones, que el chino sepa la temperatura que hace en mi terraza, no es demasiado relevante), si no por temas de mantenimiento. Una empresa cierra, chapa los servidores, y cualquier dispositivo que tengas de esa marca, se te queda sin poder usarse. Vease, el ejemplo de sonoff o Tuya. Me jode que de serie notengan la opción de que la activación tenga que ser por señal local. Únicamente funciona si usas la aplicación propia (y pasa por servers ajenos a ti). Con tasmota, todo por red local sin pasar por servidores externos.
Yo también compré una y me sorprendió bastante que se puede usar como cámara IP sin nube pero solo una vez que la has activado con la nube, la nube que te dice el fabricante y ya. Tienes que confiar ciegamente en el fabricante, en que no venda acceso a tu cámara y en que no le hackeen.
Si le hackean a él acceden a tu cámara y a tu ubicación (por la IP y por las wifi a su alcance).
Y ni la web ni el firmware tienen calidad, así que yo no confiaría en absoluto en la seguridad.
No pongáis una cámara barata, de fabricante desconocido, si queréis cierta confianza en que nadie os ve.
Yo doy por sentado que una camara china barata de marca Nisu, permitirá el acceso remoto al gobierno chino (o a quien pague por ello)
Esto a mi me suena conpletamente del reves
ahora te he jodido y ya estarás mirando para comprar un Coral y hacer detección por IA, verdad?
En este caso no tengo un router, tengo un firewall que es algo más seguro.