Muchos dispositivos conectados a Internet de las Cosas no están correctamente securizados y eso también incluye a las cámaras de monitorización de bebés, gadgets que se han convertido en imprescindibles para aquellos padres que no quieren perder de su visto a sus pequeños durante la noche.
La compañía de seguridad Bitdefender ha identificado varias vulnerabilidades en la cámara de videovigilancia de bebés Victure IPC360, así como en la infraestructura Victure Cloud Platform utilizada por otros proveedores.
Una de ellas implica que la plataforma en la nube de la cámara permite consultar cuentas de usuario de manera arbitraria, sin autenticación.
Los identificadores de las cuentas de usuario son números simples entre 1.000.000 y 60.000.000 y se asignan de forma incremental para cada usuario, resultando muy fáciles de predecir. Los números se dividen en rangos para cada región geográfica.
Al consultar una ID de usuario se devuelve una respuesta de la plataforma con todos los detalles de esa cuenta, incluidos los identificadores de los dispositivos asociados.
Con dicha información, un atacante puede acceder fácilmente a las cámaras de todos los usuarios y secuestrar cualquier cámara Victure IPC360 alojada en la nube asociada de Amazon Web Services (AWS).
Los ciberdelincuentes tienen la posibilidad de descifrar y acceder a cualquier archivo en los buckets de AWS. Con la autenticación hecha puede pueden requerir al servidor información sobre las cámaras propiedad de cualquier usuario. Una vez que el hacker tiene información de cualquier cámara a la que desea atacar, puede emitir comandos para secuestrar completamente el dispositivo de forma remota y desactivar el cifrado de transmisiones o incluso obtener transmisiones de vídeo en vivo.
Hay millones de dispositivos afectados
Bitdefender estima, en base a las ID de usuario que ha recibido durante las pruebas realizadas, que el número de víctimas potencialmente afectadas ascendería a unos 4 millones.
Para este cálculo, la firma tiene en cuenta que la plataforma en la nube también sirve para otros modelos de cámara, como la cámara IP para exteriores Mibao, laAkaso P50 y la Robicam Waterproof 360.
Teniendo en cuenta que las vulnerabilidades están en el servidor, no hay firewall ni acciones concretas de los usuarios que resuelvan los problemas hasta que las cámaras y la infraestructura no hayan sido parcheadas. Por ello, Bitdefender sugiere a los usuarios que no usean la Victure IPC360 por el momento.