หน้าแรก Security Hacker กล้องวงจรปิด Guardzilla มีช่องโหว่ที่เปิดให้คนภายนอกแอบส่องได้

กล้องวงจรปิด Guardzilla มีช่องโหว่ที่เปิดให้คนภายนอกแอบส่องได้

แบ่งปัน

เป็นอีกครั้งที่อุปกรณ์ประเภท IoT มีปัญหาด้านความปลอดภัย โดยล่าสุดระบบกล้องวงจรปิดสำหรับใช้งานตามบ้านอย่าง Guardzilla ถูกตรวจพบว่ามีช่องโหว่ที่มีมาตั้งแต่ขั้นตอนการพัฒนาอุปกรณ์ ซึ่งเปิดให้ผู้ใช้สามารถเปิดดูวิดีโอของผู้ใช้รายอื่นได้ด้วย

ระบบ Guardzilla All-In-One Video Security System เป็นแพลตฟอร์มความปลอดภัยสำหรับผู้ใช้ในบ้าน ที่เปิดให้บันทึกวิดีโอภายในอาคาร ซึ่งกล้องรุ่น GW501W ที่มาพร้อมกันนั้นกลับมีรหัสผ่านเข้าถึง Amazon S3 ที่ฝังมาจากโรงงาน และคลาวด์แอมะซอนดังกล่าวก็เป็นแหล่งเก็บข้อมูลวิดีโอของผู้ใช้ทุกคน หรือกล่าวอีกนัยหนึ่งได้ว่า ผู้ใช้ทุกคนต่างมีรหัสผ่านชุดเดียวกัน และสามารถนำไปใช้เข้าดูวิดีโอของคนอื่นที่บันทึกขึ้นคลาวด์ได้

ทางนักวิจัยจาก Rapid7 ที่ค้นพบช่องโหว่นี้กล่าวว่า รหัสผ่านแบบฝังตายตัวนี้เหมือนเป็นมาสเตอร์คีย์สำหรับบัญชี S3 ทุก Bucket ขอแค่เพียงมีคนนำเฟิร์มแวร์มาแกะโค้ด ก็จะพบรหัสผ่านระดับรูท “GMANCIPC” ที่เป็นคีย์เข้าถึง Amazon S3 ดังกล่าว

ทั้งนี้ ทางนักวิจัยได้เปิดเผยรายละเอียดช่องโหว่นี้แก่ผู้ผลิตแล้ว แต่จนถึงปัจจุบันทาง Guardzilla ยังไม่ได้แก้ไขปัญหาดังกล่าวแต่อย่างใด ดังนั้นผู้เชี่ยวชาญจึงแนะนำให้ผู้ใช้ปิดฟังก์ชั่นการบันทึกข้อมูลวิดีโอขึ้นคลาวด์ไปก่อนเพื่อรอทางผู้ผลิตออกแพ็ตช์มาอีกทีหนึ่ง

ที่มา : Threatpost