Dúzias de falhas de um padeiro em um pacote pequeno
O Akuvox E11 soa como uma câmera de porta interessante, pois tem a capacidade de abrir portas, capturar vídeo e áudio ao vivo, tirar uma foto de qualquer pessoa que esteja passando e cria um log de entradas e saídas em tempo real. Todo esse poder em um pequeno dispositivo IoT seria útil, desde que também estivesse bem protegido para evitar o uso não autorizado. Infelizmente, é um pesadelo de segurança e as 13 falhas reveladas neste artigo são ruins o suficiente, você provavelmente deve desconectá-lo antes de continuar lendo.
Vários dos recursos não requerem autenticação adequada e também há chaves codificadas que são criptografadas usando chaves acessíveis. As imagens estáticas capturadas são carregadas em um FTP não criptografado em um diretório que qualquer pessoa pode visualizar e baixar. Também foi descoberto que havia maneiras de contornar a autenticação ao acessar por meio de uma interface da Web, a partir da qual você pode controlar a maioria dos recursos. Como se isso não bastasse, o aplicativo de telefone que fala com o Akuvox E11 pode ser aproveitado da mesma forma.
Akuvox, a empresa que criou esse pesadelo de segurança, não respondeu a várias tentativas da Claroty e as organizações CERT para alcançá-los, portanto, se você tiver um Akuvox E11 ou conhecer alguém que tenha, desligue-o e não o ligue novamente!
