About us : Log in : Register

forget password?
Metro Archives
เตือนภัย กล้องวงจรปิดพบช่องโหว่ อาจโดนแฮก แอบส่องดูภาพในบ้าน

ใครมีกล้องวงจรปิด ตรวจสอบกันสักนิด เพราะพบช่องโหว่ที่เจ้าของบ้านกลายเป็นเหยื่อแฮกเกอร์ โดนส่องดูภาพในบ้านโดยไม่รู้ตัว เมื่อบริษัท SEC Consult รายงานว่ากล้องวงจรปิดและเครื่องบันทึกวิดีโอ (DVR) จำนวนหลายล้านเครื่องทั่วโลกมีช่องโหว่ที่ส่งผลให้ผู้ประสงค์ร้ายสามารถแฮกเข้ามาควบคุมอุปกรณ์ได้

โดยอุปกรณ์ส่วนใหญ่ที่มีปัญหาถูกผลิตจากบริษัท Xiongmai ประเทศจีน โดยสาเหตุเกิดจากฟีเจอร์ชื่อ P2P Cloud ที่เปิดให้ผู้ใช้สามารถเข้ามาดูข้อมูลหรือตั้งค่าอุปกรณ์ได้ผ่านอินเทอร์เน็ตผ่านแอป XMEye บนมือถือหรือแอป VMS บนคอมพิวเตอร์

ทาง SEC Consult โดยพบช่องโหว่ของปัญหานี้ 3 ข้อคือ

  1. ข้อมูล (เช่น ภาพวิดีโอ) ของกล้องวงจรปิดนั้นถูกส่งขึ้นไปยังเซิร์ฟเวอร์ใน cloud โดยไม่มีการเข้ารหัสลับข้อมูล ไม่มีนโยบายการรักษาข้อมูลส่วนตัวที่ชัดเจน อีกทั้งช่องทางที่ใช้ส่งข้อมูลออกไปนั้นยังเปิดให้ผู้ประสงค์ร้ายเชื่อมต่อกลับเข้ามายังระบบเครือข่ายภายในได้ด้วย
  2. ตัวอุปกรณ์ มีทั้งการใช้รหัสผ่านเริ่มต้นที่ไม่ปลอดภัยและมีบัญชีผู้ดูแลระบบที่สามารถล็อกอินได้โดยไม่ต้องใส่รหัสผ่าน ทำให้ใครก็ตามที่รู้ไอพีของอุปกรณ์ก็สามารถเชื่อมต่อเข้ามาดูข้อมูลหรือเปลี่ยนแปลงการตั้งค่าของเครื่องได้ง่าย
  3. ระบบอัปเดตเฟิร์มแวร์ไม่มีการตรวจสอบความถูกต้องของข้อมูล ทำให้สามารถฝังมัลแวร์เข้าในเครื่องได้

กล้องวงจรปิดพบช่องโหว่

นอกจากนี้ ทาง SEC Consult ยังได้พบว่า กล้องวงจรปิดและเครื่องบันทึกวิดีโอที่ผลิตโดยบริษัท Xiongmai นั้นถูกวางจำหน่ายในชื่อบริษัทอื่นๆ อีกเป็นจำนวนมาก ตัวอย่างเช่น Goodeye, iCSee Pro, JFeye ซึ่งทาง SEC Consult ได้จัดทำรายชื่อยี่ห้ออุปกรณ์ที่มีปัญหา รวมถึงวิธีตรวจสอบเบื้องต้นว่าอุปกรณ์ยี่ห้อใดถูกผลิตโดยบริษัท Xiongmai บ้าง ผู้ที่ใช้งานกล้องวงจรปิดและเครื่องบันทึกวิดีโอที่ถูกผลิตจากประเทศจีนควรตรวจสอบรายชื่ออุปกรณ์จากเว็บไซต์ของ SEC Consult ไว้ ซึ่ง ทาง SEC Consult แจ้งว่า ได้พยายามติดต่อกับผู้ผลิตเพื่อรายงานปัญหาให้ทราบแล้ว แต่ไม่ได้รับการตอบรับ ปัจจุบันยังไม่มีวิธีแก้ไขปัญหา

ผู้ที่ใช้งานอุปกรณ์ดังกล่าวนี้ควรประเมินความเสี่ยงหากยังต้องการใช้งานต่อ ตัวอย่างความเสี่ยงเช่น ผู้ประสงค์ร้ายสามารถดูภาพจากกล้องได้ รู้ว่าไม่มีคนอยู่ในบ้าน วางแผนขโมยทรัพย์สิน หรืออาจถูกบันทึกภาพวิดีโอในบ้านไปเผยแพร่หรือข่มขู่แบล็คเมล์ เป็นต้น

ข้อมูลจาก SEC Consult ,  Krebs on Security , it24hrs.com








Shop by Selected Brands
presented by metro-oa.com