La siguiente información se hizo pública con lujo de detalles a principios de enero en el blog de un par de investigadores llamado Console Cowboys, hace algunas horas lo publicó H-Online Security y si bien ya no es novedad, vale la pena comentarlo.
Uno de ellos detectó una vulnerabilidad en las cámaras IP de la marca TRENDnet que permite acceder a las imágenes en vivo sin necesidad de ingresar usuario y contraseña. Luego de analizar el firmware de su propia cámara, descubrió que simplemente había que escribir la ruta “anony/mjpg.cgi”.
El siguiente es un ejemplo real de una cámara que se encuentra en alguna parte del mundo:
Es cierto que en la red se pueden encontrar muchas cámaras IP abiertas (sin contraseña), hace poco hacía referencia a ello en el post “Google hacking, buscando cosas prohibidas y secretas en la red” y también comentaba el caso de la cámara de un hotel 5 estrellas que se podía controlar remotamente con un zoom óptico x22.
Pero en este caso no se trata de malas configuraciones o un acceso libre al streaming, sino de una vulnerabilidad que permite acceder aún cuando la autenticación está activada.
En los últimos días TRENDnet publicó nuevas versiones de sus firmwares bajo la categoría «Critical Updates» que solucionan el problema, así que si tienes una cámara IP de esta u otra marca sería bueno que verificaras la versión que tienes instalada, por las dudas :)
Por último, si tienes ganas de jugar un poco, en el blog de ESET España publicaron un enlace a Pastebin donde hay una lista de las cámaras a las cuales se puede acceder por internet con el anony/mjpg.cgi.
Ver también:
Cámara de seguridad casera con Skype.
Yawcam, detecta movimiento y vigila con tu webcam.