La cámara web D-Link DCS-2132L, dispositivo pensado como herramienta de seguridad para hogares y oficinas, sufre de múltiples vulnerabilidades, reveló investigación de ESET.
Las mismas cámaras permiten a un atacante no sólo interceptar y ver los registros de video, sino también manipular el firmware de los dispositivos. Sobre la base de la información divulgada, el fabricante mitigó algunas de las vulnerabilidades informadas, pero otras aún no están resueltas.
Otro problema que se encontró en la cámara estaba oculto en el complemento del navegador web “servicios myDlink”. Esta es una de las formas de la aplicación de visor disponible para el usuario, otros incluyen aplicaciones móviles, que no formaron parte de la investigación de ESET.
El complemento del navegador web administra la creación del túnel TCP y la reproducción de video en vivo en el navegador del cliente, pero también es responsable de reenviar las solicitudes de los flujos de datos de audio y video a través de un túnel, que escucha en un puerto generado dinámicamente en el host local.
ESET reportó todas las vulnerabilidades encontradas al fabricante. Algunas, principalmente en el complemento myDlink, fueron mitigadas y parcheadas a través de la actualización, pero persisten los problemas con la transmisión sin cifrar.