Pesquisadores da SafetyDetectives, serviço de testes de programas de antivírus e soluções de segurança, identificaram vulnerabilidades em "Babás eletrônicas" vendidas em mais de 19 países. As vulnerabilidades podem permitir que cibercriminosos acessem "partes não autorizadas da transmissão de video das câmeras" dos dispositivos.
- Pesquisador brasileiro descobre vulnerabilidades no Pornhub, YouPorn, Redtube e Tube8
- Pesquisador invade Microsoft, Apple, PayPal e Netflix… Usando só código aberto
- Café de graça? Pesquisador manipula sistema de “giftcard” da Nespresso e insere mais de € 167 mil em seu cartão
Babas eletrônicas são dispositivos conectados à internet que permitem que os pais de uma criança, a monitorem em tempo real, de forma remota. O equipamento se conecta a internet e grava o bebê, além de mandar uma notificação aos pais, quando o bebê começa a chorar.
De acordo com a SafetyDetectives, no final do ano passado, a empresa identificou diversos modelos de babás eletrônicas diferentes, sendo vendidos em 19 países, mas que não exigem login e senha de terceiros que querem acessar esses vídeos. Ou seja, disponíveis para qualquer um interessado.
Os pesquisadores explicam que, normalmente, babás eletrônicas operam com Real Time Streaming Protocol (RTSP), que é um conjunto de protocolos de transmissão de vídeo por internet, mas que "podem não ser seguros em algumas aplicações", especialmente se forem mal configuradas e não exigirem autenticação de usuário para acessar a transmissão do conteúdo.
"Se você monitora seus filhos através de uma câmera de transmissão ao vivo, esta é uma informação preocupante: se o monitor de bebê ou qualquer câmera RTSP não exigir que as partes digitem uma senha cada vez que se conectarem à transmissão de vídeo, as imagens mostradas nessa transmissão são potencialmente inseguras e acessíveis a qualquer pessoa", escrevem os pesquisadores, em um relatório recente.
As babás eletrônicas que foram identificadas pela SafetyDetectives estavam mal configuradas e não exigiam autenticação de usuário para acessar as transmissões, ou seja, qualquer um interessado poderia captar as imagens das crianças monitoradas. Em alguns casos, foram observadas até creches e pré-escolas utilizando câmeras com RTSP mal configurado.
"Se seu filho frequenta uma creche que transmite imagens ao vivo para os pais através de monitores de bebês ou outras câmeras que usam RTSP, essas imagens podem estar desprotegidas e acessíveis a qualquer pessoa desconhecida", escrevem.
A pesquisa identificou que os dispositivos com nome (ou nome de rede): Hipcam RealServer/V1.0; H264DVR 1.0; webcamXP 5 e Boa/0.94. 14rc21, devem ser configuradas corretamente para que os vídeos sejam transmitidos somente para o cliente. Caso você seja um cliente de um desses serviços, procure a empresa fornecedora e configure uma senha.
Esses dispositivos foram encontrados em 19 países: Argentina; Austrália; Brasil; Canadá; França; Alemanha; Israel; Itália; Holanda; Africa do Sul; Coreia do Sul; Espanha; Suíça; Taiwan; Turquia; Estados Unidos, Reino Unido e Vietnam.
Fonte: SafetyDetectives.