Global Preloader
Vulnerabilidad
(28/Dec/2018) FALLA DE SEGURIDAD EN LA CÁMARA GUARDZILLA

FALLA DE SEGURIDAD EN LA CÁMARA GUARDZILLA

De acuerdo al portal de noticias de la industria de la tecnología, TechCrunch, reportó que un fabricante de sistemas de seguridad inteligente (Guardzilla) ignoró las advertencias dichas por especialistas de Ciberseguridad; su dispositivo cuenta con varias vulnerabilidades graves como permitir que cualquier persona acceda a la tienda central de grabaciones de video subidas por el cliente de la empresa.

De igual manera, los expertos de 0DayAllDay encontraron que el sistema de seguridad inalámbrico para interiores más vendido de Guardzilla contenía claves codificadas con la posibilidad de ser extraídas; la contraseña de root del dispositivo estaba protegida con un algoritmo de una década de antigüedad fácil de crackear.

Cada uno de los dispositivos utiliza la misma clave para subir  las grabaciones de los  videos en los servidores de almacenamiento de la compañía Amazon Web Services. Por ende, cualquier puede usar las contraseñas para acceder, obtener el total control de la nube y de los datos de clientes cargados.

“Hemos tratado varias formas de contactar a Guardzilla, pero no han reconocido el informe”, dijo Tod Beardsley, director de investigación en Rapid7.

Por otro lado, el equipo que realizó el informe de vulnerabilidad explicó que “se necesitaron 2 tarjetas gráficas para descifrar la contraseña de ocho letras que protege el firmware del dispositivo Guardzilla afectado que se envía con cada dispositivo. Debido a que las claves estaban enterradas en el código, cualquier persona con un dispositivo Guardzilla podría obtenerlas y obtener acceso sin restricciones a los 13 compartimientos de almacenamiento de la compañía alojados en los servidores de Amazon”.

Además, en la investigación se hallaron varios errores conocidos que afectan el uso continuado del dispositivo de una biblioteca de cifrado OpenSSL desde hace más de dos años y grandes cantidades de tráfico enviado desde un puerto abierto en el dispositivo al servidor Amazon de Guardzilla.

Sin embargo, la compañía nunca le dio resolución a pesar de que tuvo 3 meses para arreglarla y lanzar un nuevo firmware para los dispositivos.