Des vulnérabilités dans une caméra découvertes par ESET : porte ouverte pour espionner son propriétaire
Bratislava – Selon les dernières recherches en IoT d’ESET, la caméra D-Link cloud DCS-2132L possède de nombreuses vulnérabilités sécuritaires qui peuvent ouvrir la porte à des acteurs non autorisés. Se basant sur des informations rendues publiques, le fabricant minimise certaines des vulnérabilités alors que d’autres se profilent encore.
“ Le problème le plus important avec la caméra D-Link DCS-2132L est la transmission non encryptée du flux vidéo. Elle fonctionne sans chiffrement sur deux connexions : celle entre la caméra et le cloud et celle entre le cloud et l’app de visualisation coté client, créant ainsi un terrain fertile pour des attaques et pourrait permettre aux intrus d’espionner les flux vidéo des victimes” explique Milan Fránik, chercheur basé à Bratislava dans le labo de recherché d’ESET.
Un autre problème de taille de cette caméra était caché dans le plug-in du navigateur de services “myDlink” . Il s’agit d’une des formes de l’appli de visualisation de l’utilisateur. D’autres formes, concernent les applis mobiles mais elles ne faisaient pas partie des recherches d’ESET.
Le plug-in du navigateur gère la création d’un tunnel TCP et le playback vidéo en direct dans le navigateur client mais il est également responsable de la transmission des demandes des flux de données vidéo et audio par un tunnel qui écoute sur un port généré de manière dynamique sur un hôte local.
“La vulnérabilité du plug-in aurait pu avoir des conséquences dramatiques au niveau de la sécurité de la caméra car elle permettait aux attaquants de remplacer le firmware original avec leur propre version truquée ou détournée” ajoute Fránik.
ESET a signalé toute les vulnérabilités au fabricant. Certaines de celles-ci – principalement dans le plug-in myDlink – ont depuis été atténuées et patchées par une mise à jour, mais des problèmes avec des transmission non encryptée persistent.
Pour une description plus détaillée des vulnérabilités et les scénarios d’éventuelles attaques, lisez “D-Link camera vulnerability allows attackers to tap into the video stream”, le document produit par le chercheur sur le site d’ESET WeliveSecurity.com
A propos d’ESET
Depuis 30 ans,ESET® développe des logiciels et des services de sécurité IT de pointe destinés aux entreprises et aux consommateurs, partout dans le monde. Avec des solutions allant de la sécurité des terminaux et des mobiles jusqu’à des solutions de chiffrement et d’authentification à deux facteurs, les produits conviviaux et hautement performants d’ESET confère aux consommateurs et aux entreprises la tranquillité d’esprit nécessaire pour pleinement tirer parti des potentiels de leurs technologies. ESET assure une protection et une surveillance discrète 24 h sur 24, mettant les solutions de protection à jour en temps réel afin de garantir la sécurité des utilisateurs et les activités des entreprises, sans la moindre interruption. Les menaces en constante évolution requièrent une société spécialisée en sécurité IT qui soit elle-même évolutive. S’appuyant sur ses divers centres R&D de par le monde, ESET est la première société de sécurité IT à avoir décroché 100 récompenses Virus Bulletin VB100 et ayant identifié, sans exception, tous les malwares en circulation et ce, sans interruption depuis 2003. Pour toute information complémentaire, consultez le site www.eset.com ou suivez-nous sur LinkedIn, Facebook et Twitter.
INFORMATION PRESSE
Vous désirez plus d’informations sur ESET ou tester un produit ? Contactez :
MGK Technologies
+352 26 18 51
Key Communications
Catherine d’Adesky / Louise Biron
+32 (0)475 48 62 68
+32 (0)2 230 40 72
catherine@keycommunications.be
louise@keycommunications.be
www.keycommunications.be
Si vous ne désirez plus recevoir de communiqués d’ESET, faites le savoir à louise@keycommunications.be