Серьезная уязвимость выявлена в беспроводной камере D-Link DCS-930L, которая предназначена для наблюдения за домом или офисными помещениями. Используя уязвимость, хакеры могут произвести на данном устройстве запуск произвольного кода, сброс пароля и перехват передаваемого видеосигнала.
Процесс установки и настройки камеры D-Link DCS-930L не является сложным. Используя облачный сервис mydLink, пользователь может просматривать видео, передаваемое камерой через Wi-Fi, с компьютера или мобильного устройства, подключенного к интернету. Камера через электронную почту сообщает владельцу о зафиксированных движениях или звуках.
Уязвимость была зафиксирована специалистами Senrio – компании, занимающейся обеспечением безопасности устройств «Интернета вещей». Эксперты выяснили, что компонент прошивки камеры, осуществляющий анализ удаленных команд, может переполнять буфер и размещать строку, полученную по сети, поверх стека вызовов.
Чтобы воспользоваться уязвимостью, нужно отправить на устройство сформированную специальным образом команду, содержащую код на ассемблере и строку, провоцирующую переполнение буфера и размещающую адрес данного кода на стеке.