quinta-feira, 14 de abril de 2016

Investigador descobre câmaras de vigilância infectadas com malware à venda na Amazon


Como se já não fosse suficiente lidarmos com câmaras de vigilância mal configuradas ou com vulnerabilidades que permitem que qualquer pessoa na internet possa ver as suas imagens, agora temos que lidar com câmaras que já trazem malware pré-instalado.

A situação foi detectada por um investigador de segurança, que comprou um kit com 6 câmaras POE (Power-over-Ethernet) para a casa de um amigo. Ao tentar configurá-las deparou-se com alguns problemas na página web que deveria apresentar os controlos da câmara, levando-o a espreitar no código HTML para ver se descobria o que se passava; e em vez do erro básico de CSS que esperava encontrar, descobriu algo bem pior e mais preocupante.



No final da página web de controlo do sistema de câmaras estava uma estranha referência que incluía conteúdos do site "brenz.pl" que, após uma pesquisa rápida, revelou ser um endereço frequentemente associado à distribuição de malware. E com grande surpresa... a constatação de que um vendedor bem reputado na Amazon estava a vender câmaras com malware pré-instalado.

O facto do vendedor (Urban Security Group) ter boa reputação faz imaginar que isto tenha acontecido sem o seu conhecimento; e também poderá ajudar saber que o alerta já tinha sido dado anteriormente num fórum, por um utilizador que detectou a existência de uma actualização com o conteúdo malicioso. Poderá ter sido essa a via de ataque que tenha infectado estes sistemas, fazendo-se passar por uma actualização legítima (mas com o conteúdo indesejado) - sendo que o mais preocupante será imaginar que, para muitas pessoas, este tipo de infecções poderia passar completamente despercebido, pondo em risco o seu sistema de vigilância, e potencialmente toda a sua rede doméstica (ou empresarial).

Começa a ser complicado saber no que se pode confiar, mesmo quando se fazem compras de vendedores com boa reputação em sites como a Amazon. (Por este andar, começará a ser necessário adicionar uma disciplina de segurança digital ao currículo de escolaridade obrigatória!)

Sem comentários:

Publicar um comentário

Related Posts with Thumbnails