ทีมนักวิจัยด้านความปลอดภัยจาก Pen Test Partners พบช่องโหว่สำคัญบนกล้องวงจรปิดแบบอัจฉริยะหลายยี่ห้อ โดยเฉพาะยี่ห้อ Swann ที่ไม่สามารถแยกแยะผู้ใช้ที่ล็อกอินเข้ามาดูภาพจากกล้องแบบไลฟ์สดได้ เรียกว่าใครก็ตามก็สามารถเข้าถึงทั้งภาพและเสียงที่ถ่ายจากกล้อง Swann แบบถ่ายทอดสดได้หมด
การค้นพบนี้เกิดขึ้นหลังจากสำนักข่าวบีบีซีรายงานว่า มีกรณีแฮ็กเข้าไปดูภาพถ่ายทอดสดจากกล้องวงจรปิดของคนอื่นหลายกรณี โดยพวกเขาได้ทดสอบกับกล้องรุ่นความละเอียดสูงแบบใช้แบตเตอรี่ ที่เชื่อมต่อกับอินเทอร์เน็ตเพื่อสตรีมภาพสดๆ อัพขึ้นไปได้ทั้งบนคลาวด์และบนเครือข่ายที่กำหนดซึ่งเป็นบริการของบริษัทในนิวยอร์กอย่าง Ozvision อีกต่อหนึ่ง
นักวิจัยพบว่า สามารถแฮ็กเข้าไปดูสตรีมไลฟ์สดได้ง่ายๆ แต่เลือกเปลี่ยนภาพวิดีโอจากกล้องตัวหนึ่งสลับไปใช้กล้องของคนอื่นผ่านบริการบนคลาวด์ดังกล่าว ทำให้ใครก็ตามก็สามารถเห็นภาพวิดีโอที่อาจเป็นข้อมูลอ่อนไหว หรือข้อมูลลับของลูกค้าแบบที่ไม่ต้องใช้ความรู้หรือความพยายามมากมายใดๆ เลย
สาเหตุของช่องโหว่นี้เกิดจากกล้องของ Swann มีการบันทึกเลขซีเรียลแบบถาวรหรือฮาร์ดโค้ด แล้วดันใช้เลขนี้เป็นอ้างอิงในการสื่อสารกับบริการบนคลาวด์ ซึ่งแฮ็กเกอร์สามารถแอบเปลี่ยนเลขซีเรียลที่ร้องขอการดูภาพผ่านคลาวด์ได้ผ่านซอฟต์แวร์พร็อกซี่ที่ช่วยเปลี่ยนทราฟิกบนเครือข่ายให้ดูเหมือนมาจากเจ้าของกล้อง ซึ่งกระบวนการเดาสุ่มเลขซีเรียลของกล้องเป้าหมายนั้นสามารถทำได้อย่างรวดเร็วภายใน 3 วันเท่านั้น
ที่มา : Hackread
