D-Link 連網監視攝影機被爆資安漏洞,駭客可取得影像內容

摘要:
資安專家指 D-Link DCS-2132L 連網監視攝影機傳輸過程未完全加密,駭客可透過中間人攻擊取得監視影像串流。

內文:
資安廠商 ESET 的研究人員發現,D-Link DCS-2132L 連網雲端監視攝影機存有安全漏洞,在影像自鏡頭傳輸到 D-Link 雲端伺服器,以及從雲端伺服器傳到用戶手機 App 的過程中,影像資料並未加密。

專家指出,雖然這款監視攝影機透過位於 Port 2048 的 TCP 通道,以 D-Link 自行設計的隧道協定進行資料傳輸,但傳輸過程並未加密,駭客因此可以取得其中的重要關鍵資訊,包括監視器的 IP、MAC 位置、版本編號、影音串流資料等。

專家也發現 D-Link 在傳輸過程中使用的嵌入式開源 web 伺服器 Boa 過於老舊,早已在 2005 年就停止開發維護,因此極易受到中間人攻擊。駭客可以從中攔截通訊封包,竊取影音串流內容。

ESET 另外還發現 D-Link 開發的「MyDlink Services」瀏覽器外掛程式同樣存有安全問題。詳細資訊可參看 ESET 發表的研究報告。

參考連結:

  1. https://www.welivesecurity.com/2019/05/02/d-link-camera-vulnerability-video-stream/
  2. https://threatpost.com/d-link-cloud-camera-flaw/144304/

發表留言