Se ha publicado un informe en el que se confirman varias vulnerabilidades en los sistemas de cámaras de seguridad iBaby Monitor M6S que podría permitir a un atacante remoto el acceso al dispositivo.
El informe ha sido publicado por la empresa de seguridad informática BitDefender en colaboración con la empresa PCMag. Uno de los aspectos de la vulnerabilidad reportada es que podría permitir el acceso remoto a los buckets AWS.
Los buckets AWS son los sistemas de almacenamiento que utiliza el sistema de Amazon. Estos sistemas de almacenamiento, que al fin y al cabo son un sistema de directorios como puede ser cualquier almacenamiento en la nube, tienen un ID único que identifica a un bucket específico y que está disponible y visible desde cualquier punto de la red de Amazon.
Las vulnerabilidades permitirían a un atacante remoto el acceso a las imágenes y vídeos grabados por estos sistemas de seguridad e incluso a las credenciales de acceso. Esto se debe a fugas de información a través de la vulnerabilidad IDOR (Insecure Direct Object Reference), que informa sobre la actividad del dispositivo. Una vez explotada esta vulnerabilidad, es posible tomar ventaja de otra presente en el servicio MQTT, también con el objetivo de controlar el dispositivo de manera remota. Esta última vulnerabilidad ha sido identificada con el código CVE-2019-12268.
No es la primera vez que una cámara de seguridad contiene alguna vulnerabilidad: a principios de este año Xiaomi tuvo un problema al actualizar el software de algunas de sus cámaras.
Más información
Severe Vulnerability in iBaby Monitor M6S Camera Leads to Remote Access to Video Storage Bucket
Informe completo de BitDefender
Deja una respuesta