डी-लिंक फ़र्मवेयर त्रुटियां आईपी वीडियो स्ट्रीम जासूसी करने की अनुमति दे सकती हैं

यदि आप बैंक चलाते हैं और डी-लिंक से आईपी वीडियो कैमरा का उपयोग करते हैं, तो आप इस पर ध्यान देना चाहेंगे।

कई आईपी-आधारित निगरानी वीडियो कैमरे सुरक्षा शोधकर्ताओं के मुताबिक, डी-लिंक द्वारा बनाई गई फर्मवेयर भेद्यताएं हैं जो हमलावर को वीडियो स्ट्रीम को अवरुद्ध करने की अनुमति दे सकती हैं।

कोर सिक्योरिटी, बोस्टन में स्थित एक कंपनी जो भेद्यता का पता लगाने और शोध में माहिर है, सोमवार को पांच भेद्यता के विवरण पर प्रकाशित डी-लिंक के फर्मवेयर में, जो कम से कम 14 उत्पादों में लपेटा गया है।

[आगे पढ़ने: आपके महंगे इलेक्ट्रॉनिक्स के लिए सबसे अच्छा वृद्धि रक्षक]

डी-लिंक विभिन्न प्रकार के इंटरनेट से जुड़े कैमरे बनाता है जो इसे बेचता है व्यवसायों और उपभोक्ताओं के लिए। कैमरे छवियों और वीडियो रिकॉर्ड कर सकते हैं और वेब आधारित नियंत्रण पैनलों के माध्यम से नियंत्रित किया जा सकता है। लाइव फीड कुछ मोबाइल उपकरणों पर देखा जा सकता है।

डीसीएस -5605 / डीसीएस -5635 में कमजोर मॉडल में से एक में गति-पहचान सुविधा है, जो डी-लिंक अपनी मार्केटिंग सामग्री में सुझाव देता है कि बैंकों के लिए अच्छा होगा, अस्पतालों और कार्यालयों।

कोर सिक्योरिटी के शोधकर्ताओं ने पाया कि आरटीएसपी (रीयल टाइम स्ट्रीमिंग प्रोटोकॉल) के माध्यम से एक लाइव वीडियो स्ट्रीम के साथ-साथ प्रभावित मॉडलों में वीडियो स्ट्रीम के एएससीआईआई आउटपुट के बिना प्रमाणीकरण के बिना पहुंचना संभव था। इंटरनेट इंजीनियरिंग टास्क फोर्स के मुताबिक आरटीएसपी रीयल-टाइम डेटा स्थानांतरित करने के लिए एक एप्लीकेशन-स्तरीय प्रोटोकॉल है।

शोधकर्ताओं को वेब-आधारित कंट्रोल पैनल के साथ एक समस्या भी मिली जो हैकर को मनमाने ढंग से कमांड इनपुट करने की इजाजत देगी। कोर सिक्योरिटी ने अपने सलाहकार में कहा, "एक और त्रुटि में, डी-लिंक हार्ड-कोडेड लॉगिन क्रेडेंशियल्स फर्मवेयर में" प्रभावी रूप से एक पिछवाड़े के रूप में कार्य करता है, जो रिमोट अटैकर्स को आरटीएसपी वीडियो स्ट्रीम तक पहुंचने की इजाजत देता है। "

तकनीकी विवरणों का वर्णन किया गया है Seclists.org के पूर्ण प्रकटीकरण खंड में एक पोस्ट में, ज्ञात प्रभावित उत्पादों की एक सूची के साथ, जिनमें से कुछ को डी-लिंक द्वारा चरणबद्ध किया गया है।

कोर सुरक्षा ने 2 9 मार्च को समस्या का डी-लिंक अधिसूचित किया, पूर्ण प्रकटीकरण पर पोस्टिंग में शामिल दो कंपनियों की बातचीत के एक लॉग के अनुसार। कोर द्वारा लिखे गए लॉग में दिलचस्प जानकारी है कि दोनों कंपनियों ने कैसे विवाद किया और स्पष्ट रूप से कुछ असहमतिएं थीं।

कोर के मुताबिक, डी-लिंक ने कहा कि इसमें सुरक्षा विक्रेताओं के लिए "अप्रकाशित बक्षीस कार्यक्रम" था। कई कंपनियों के पास बग प्रोग्राम होते हैं जो शोधकर्ताओं को नकद या अन्य प्रोत्साहनों के साथ अपने उत्पादों में सुरक्षा मुद्दों को ढूंढने और उन्हें सार्वजनिक रूप से विवरण जारी करने से पहले सूचित करते हैं।

20 मार्च के आसपास, डी-लिंक ने अनुरोध किया कि कोर सुरक्षा "समझने के ज्ञापन" पर हस्ताक्षर करे। कार्यक्रम के हिस्से के रूप में, जो कोर अस्वीकार कर दिया। ज्ञापन की शर्तों का वर्णन नहीं किया गया था। कोर ने डी-लिंक को बताया कि "विक्रेताओं से पैसे प्राप्त करने से रिपोर्ट के बारे में पूर्वाग्रह हो सकता है।"

दोनों कंपनियों के पास एक और मामूली रन-इन था। डी-लिंक ने कोर को बताया कि यह डी-लिंक समर्थन फोरम पर मुद्दों को ठीक करने के लिए पैच और मार्गदर्शन जारी करेगा। डी-लिंक सार्वजनिक घोषणा करने से एक महीने पहले इंतजार करेगा।

कोर सिक्योरिटी को उस सुझाव को पसंद नहीं आया। पिछले बुधवार को, कोर ने डी-लिंक रिलीज की तारीख के बारे में स्पष्टीकरण के लिए डी-लिंक से पूछा "और यह सूचित करता है कि एक विशेषाधिकार प्राप्त बंद समूह और / या एक बंद मंच या सूची में फिक्स जारी करना अस्वीकार्य है।"

डी-लिंक के फोरम में है एक लॉगिन क्षेत्र, लेकिन ऐसा प्रतीत होता है कि पंजीकरण के बिना कोई भी पोस्ट देख सकता है। डी-लिंक एक दिन बाद वापस आया और कहा कि पैच तैयार हैं और अगले कुछ दिनों में "अगले कुछ दिनों में" अपनी वेबसाइट पर पोस्ट किए जाएंगे।

डी-लिंक ने तुरंत टिप्पणी के अनुरोधों का जवाब नहीं दिया। फर्मवेयर अपडेट को सार्वजनिक रूप से पोस्ट किया गया था, तो यह कंपनी के समर्थन मंच से अस्पष्ट था।

कोर सिक्योरिटी ने अपने शोधकर्ता फ्रांसिस्को फाल्कन, नाहुएल रिवा, मार्टिन रोचा, जुआन कोट्टा, पाब्लो सैंटमेरिया और फर्नांडो मिरांडा को समस्याओं का सामना करने के लिए श्रेय दिया।