Tenable Research reveló varias vulnerabilidades que afectan a los sistemas de seguridad de Arlo, incluidos monitores para bebés y cámaras sin cables, que darían a los atacantes el control completo de los dispositivos, incluida la visualización de secuencias de video privadas y la manipulación de las fuentes.
Arlo es uno de los proveedores de cámaras IoT más populares que existen, según su sitio web, más de 100 millones de videos se transmiten diariamente a millones de usuarios registrados. Estos productos están principalmente orientados a los consumidores en general, que van desde usuarios domésticos, propietarios de pequeñas empresas, proveedores de unidades de almacenamiento, dueños de propiedades alquiler (como AirBnB), etc.
Las vulnerabilidades se encontraron en las estaciones base de Arlo (versión de firmware 1.12.0.1_27940) que se utilizan para alimentar los diversos productos de la compañía. Al explotar las fallas, un atacante podría obtener el control de todas las cámaras conectadas a la estación base. Desde allí, el atacante podría ver imágenes privadas, apagar las cámaras y manipular las transmisiones de video.
Los mayores inconvenientes aquí son los requisitos de conexión a Internet y el envío de todos los datos capturados hacia la nube de Arlo, que está fuera de su control y no se puede investigar ni evaluar de forma independiente.
Arlo ha lanzado VMB3010 y VMB4000: 1.12.2.3_2782; VMB3500 y VMB4500: 1.12.2.4_2773; VMB5000: 1.12.2.3_59_4a57cce para abordar las vulnerabilidades. Tenable insta a los usuarios a confirmar que sus estaciones base Arlo se han actualizado a esta última versión.
