lunes, septiembre 08, 2014

GM01: Cámara de seguridad que te pone en alto riesgo

La historia que vengo a contaros en este artículo tiene que ver con una cámara de seguridad, que lejos de ayudarte a estar más seguro, pone en alto riesgo tu privacidad. Esto, por desgracia, ya no es algo nuevo en este mundo y debemos casi a esta acostumbrados a que esto suceda, ya que hemos visto muchas veces en el pasado cómo cámaras de seguridad permitían acceder a tu intimidad o cómo un mal diseño de seguridad permitía que cualquiera accediera a la contraseña de la cámara de seguridad, tal y como se pudo ver en el 0day que llevaba el libro de Hacker Épico

Figura 1: Cámara de seguridad GM01

En esta ocasión es GM01, una cámara de seguridad que se define a sí misma como una "Easy Cam", lo que no parece nada halagüeño cuando de seguridad estamos hablando. Esta es la historia de su seguridad y cómo aún es posible tener problemas con ellas, pese a haber intentado contactar varias veces con ellos.

GM01: Introducción al funcionamiento

Esta cámara de seguridad es una cámara inalámbrica que funciona con una SIM con la que se conecta con el panel de control. El uso de conexiones móviles en las cámaras de seguridad no es algo tan raro, sobre todo debido a que los ladrones solían cortar cables de teléfono o electricidad para cortar cualquier comunicación con el exterior. Esta cámara viene provista con un SIM y una conexión directa al panel de control en la nube para su gestión.

Además, cada vez que detecta movimiento, toma una fotografía de forma silenciosa y la sube a la nube, a un panel de control en el que el dueño de la cámara puede revisar qué ha sido lo que ha provocado la alerta de seguridad.

Figura 2: Configuración de credenciales y panel de control en la tarjeta de memoria de la cámara

La configuración de la conexión, que viene por defecto sin que mucha gente lo sepan, está un tarjeta de memoria introducida en la cámara de seguridad que, si sacas y montas, podrás ver que hay un fichero que contiene la ruta de conexión al panel de control en aneasycam.com, el número de teléfono y la contraseña por defecto, que como se puede ver es 123456.

Figura 3: El panel de control de la cámara CM01

En esta primera inspección ya se puede ver que seguramente muchos usuarios tendrán la misma contraseña, lo que simplificaría para cualquier atacante el acceso a cámaras de seguridad en las casas particulares de las personas solamente habiendo hecho uso de esta contraseña. Hay que recordar que, por desgracia, la mayoría de las cámaras de seguridad acaban con contraseñas por defecto, incluso en los lugares más insospechados.

Acceso al panel de control como Administrador

Los bugs de este sistema son enormes, pero para empezar veremos lo sencillo que es para cualquier usuario del sistema convertirse en administrador de cualquier cámara de seguridad - incluida la mía -. Para ello basta con entrar una vez con el IMEI de mi Cámara de Seguridad GM01 y la contraseña por defecto. Esto nos lleva a un panel de administración donde el usuario puede ver la configuración de la cámara, cambiar la password, ver las fotos que ha tomado.

Figura 4: Acceso de cualquier usuario a la gestión de su cámara de seguridad

Lo más importante en este caso es que se puede ver que hay un directorio, y ese directorio tiene un Directory Listing como un pino, así que basta con pedir la carpeta sin el archivo aspx y ver qué otros archivos hay en esa ubicación.

Figura 5: El listado de los ficheros de ese directorio

Como se puede ver están todos los ficheros que dan soporte a este panel de control. Entre otros, uno que se llama SuperAdmin.apsx y que si se hace clic en el se abre sin realizar ninguna validación de usuario. 

Figura 6: Acceso al panel de SuperAdmin sin validación alguna

A partir de ese momento se tiene la posibilidad de acceder a todos los IMEI de todas las cámaras de seguridad. Esto permitiría - si el usuario no ha cambiado la password por defecto - acceder a sus fotos y su configuración. En el peor de los casos, se puede cambiar la contraseña y resetear el dispositivo, además de forzar la toma de fotografías en cualquier momento.

Un bug de IIS ShortName como añadido

No hubiera sido necesario tener este Directoy Listing de libro para poder acceder a estos ficheros, ya que además de este, tiene un bug de IIS ShortName Listing que también permite acceder al listado de los ficheros.

Figura 7: Existe un fichero que empieza por s. True

Así que, cualquiera que use FOCA contra este servidor podrá detectar la vulnerabilidad y usando los plugins de IIS Short Name acceder a un listado más o menos completo de todos los ficheros.

Figura 8: No existe ningún fichero que empiece por x. False.

Vamos, que no es complejo para nadie descubrir este panel de Super Admin que no pide ni una contraseña y que lo que deben hacer es validar a los usuarios, y a ser posible con un segundo factor de autenticación como mandan los cánones.

Acceso a todas las fotos de todos los usuarios

Lo peor de todo está aún por llegar, ya que, como se ha dicho al principio, en el panel de control del usuario, cualquiera puede ver sus fotografías de alarmas. También puede ampliarlas y verlas en una pestaña aparte.

Figura 9: Fotos de alarma

Cuando se abren en una pestaña aparte se puede ver que las imágenes se cuelgan en otro servidor web, organizadas por directorios en los que el nombre del directorio es el IMEI de la cámara de seguridad. El nombre de la foto es un time-stamp de cuándo se hizo.

Figura 10: Ruta pública a la fotografía fuera del panel

Como era de esperar, tiene también un Directory Listing - y también un bug de IIS Short Name - que permite acceder a todas las fotografías de todas las cámaras de seguridad de todos los usuarios. Algo muy poco deseable para la privacidad de nadie.

Figura 11: Fotografías de todas las cámaras de seguridad que han vendido por el mundo

Y no hay ninguna protección. Desde que descubrí este bug y me puse en contacto con ellos, han seguido subiéndose fotografías sin que se pueda evitar y ya no sé que hacer.

El antiguo panel, ¿más seguro?

Viendo todo esto, y tirando del hilo, resulta que hay un panel de administración web anterior que no solo vale para cámaras de seguridad, sino para cualquier dispositivo de esta empresa que lleva control remoto por SIM

Figura 12: El panel antiguo indica cuál es la password por defecto para los dispositivos

Por supuesto, desde ahí también se pueden administrar las cámaras de seguridad, y aunque internamente este panel es más seguro, como se puede ver, para todos los demás dispositivos dejan claro en la web cuál es la contraseña por defecto.

Sin cifrado ni doble factor de autenticación

Con todo lo que hemos visto de ataques a la privacidad, como en el caso de las famosas y sus fotos personales de iCloud, o con el gran número de casos de cámaras de seguridad con fallos de seguridad por contraseñas por defecto, el poner un sistema que no utilice tan siquiera un cifrado SSL para la comunicación de las fotografías y el acceso al panel de control, es una locura.

Por supuesto, deseable sería ya que pusieran un segundo factor de autenticación como Latch a mi cuenta, ya que si un dispositivo va a tomar fotografías de mi casa, me gustaría poder saber cuándo alguien ha accedido a mi cuenta. Ni que decir tiene que para ello, las fotografías deben estar protegidas por una sesión y no accesibles como ficheros cualquiera en el servidor web.

Figura 13: Correo electrónico enviado al fabricante por varios medios

Me puse en contacto con ellos hace tiempo y no he recibido ni respuesta, y viendo que la gente sigue cayendo en estos problemas y que yo tengo una cámara de seguridad que no me atrevo a utilizar, he decidido hacer públicos los fallos para alertar a los usuarios y posibles compradores y meter presión a la empresa para que solucione todos estos fallos.

Actualización: Tras escribir un mensaje con copia a todas las direcciones que localicé de empleados de la empresa, no tardaron ni 24 horas en responderme, y es que estaba muy cabreado porque el fabricante sin haber corregido absolutamente nada había publicado un anuncio de la cámara de marras, lo cual me parecía casi una burla.

Afortunadamente el mensaje llegó a la persona adecuada y de inmediato sus ingenieros han hecho lo que debería haber hecho desde el principio. Según ellos la excusa era que era un portal beta en estadio de pre-venta. Les he dicho que me parece bien, pero en ese caso se comprueba a fondo que funcione, se securiza y luego se lanza, no se lanza primero y comprueba después.

Confío en que tomen nota de mis sugerencias y sigan trabajando añadiendo medidas de seguridad, entre ellas la más importante en los tiempos que corren: añadir la capa SSL en el tráfico de estos dispositivos. Seguramente muchos clientes no saben absolutamente nada de este asunto, pero al menos me siento muy aliviado porque mi insistencia nos ha beneficiado a los miles de compradores de la GM01.

Autor: Retro-Maligno

8 comentarios:

  1. Bufff... que mal por todas las personas que han confiado en este dispositivo... es como una ventana abierta a todo el mundo en tu casa..

    He podido comprobar lo que has descubierto y, al ver algunas de las fotos, me ha recorrido un escalofrió por la espalda.

    Voy a difundirlo el máximo posible por si alguien esta afectado. Dudo que nadie quiera que las fotos de sus hijos corran por internet.

    ResponderEliminar
  2. Gracias por el artículo, he estado a punto de hacerme con una. Puedes sugerirme alguna similar y que sea segura?

    ResponderEliminar
  3. Bravo por obligarlos a tomar medidas.

    ResponderEliminar
  4. Muchísimas gracias por este detallado y maravilloso post!
    Una cosita chema, aqui hay mucho personal que tira de shodan y dejando el puerto visible en una de tus imagenes, el nombre del fabricante y demás datos, favoreces a que a cotillas les de por jugar al gran hermano.
    Aunque siendo camaras de Seguridad/Alarmas no tienen por que captar imagenes perversas :D.


    Un salu2.

    ResponderEliminar
  5. Lo que más me sorprende es que no es necesario ni loguearte, pones la ruta del DevicesPage y te la abre sin problemas ._.

    ResponderEliminar
  6. Hace tiempo estuve trasteando una cámara ip de la marca Axis. La maquinita corría Linux y desde la interficie web era posible crear scripts y modificar lo que hiciera falta del sistema de ficheros. Sin saber casi nada uno podía montarse un escriptillo para que la cámara misma le mandara capturas periódicamente a un servidor.

    ResponderEliminar
  7. Hola, gracias por el artículo. Acabo de comprar una cámara ip(Agtech AG1512) y querría saber cómo comprobar su seguridad y cómo limitar su acceso no deseado (a parte de no conectarla, jeje)

    ResponderEliminar