হ্যাকাররা একটি দূরবর্তী নজরদারি যন্ত্রের মধ্যে একটি ক্যানন ইওএস ক্যামেরা চালু করে

উচ্চ শেষ ক্যানন ইওএস -1 ডি এক্স ক্যামেরা ব্যবহারের জন্য হ্যাক হতে পারে একটি দূরবর্তী নজরদারি সরঞ্জাম, দূরবর্তীভাবে ডাউনলোড করা, মুছে ফেলা এবং আপলোড করা ছবিগুলির সাথে, একটি গবেষক বুধবার আমস্টারডামে বক্স নিরাপত্তা সম্মেলনে হ্যাকের সময় বলেন।

ডিজিটাল এসএলআর ক্যামেরাটির একটি ইথারনেট পোর্ট রয়েছে এবং এটি একটি ওয়াইল্যান অ্যাডাপ্টার । জার্মান নিরাপত্তা গবেষক ড্যানিয়েল মেন্ডে এর ERNW এর মতে, এই সংযোগটি ফটোজার্নালিকদের জন্য বিশেষভাবে উপযোগী, যারা এফটিপি সার্ভার বা ট্যাবলেটে ছবি আপলোড করতে পারে।

তবে ক্যামেরার সংযোগটি নিরাপত্তার সাথে পরিকল্পিত ছিল না বলে মেন্ডে বলেন। "যদি একজন ফটোগ্রাফার একটি হোটেল ওয়াই-ফাই নেটওয়ার্ক বা স্টারবক্স নেটওয়ার্কের মত একটি অনিরাপদ নেটওয়ার্ক ব্যবহার করেন তবে সামান্য পরিমাণে জ্ঞান থাকা সত্ত্বেও ক্যামেরা থেকে ছবিগুলি ডাউনলোড করা সম্ভব", তিনি বলেন।

[আরও পাঠ্য: কিভাবে আপনার উইন্ডোজ পিসি থেকে ম্যালওয়্যার অপসারণ]

সহজ আক্রমণ রুট

ক্যামেরা অনেক উপায়ে আক্রমণকারীদের দ্বারা অ্যাক্সেস করা যেতে পারে, মেন্ডে বলেন। যেহেতু এফটিপি আপলোড মোড স্পষ্ট পাঠ্য, প্রমাণপত্রাদি এবং সম্পূর্ণ ডাটা ট্রান্সমিশন তথ্য স্নিফ্ফ্ করে দিতে পারে, তাই আপলোড করা ছবি নেটওয়ার্ক ট্র্যাফিক থেকে বের করা যেতে পারে, মেন্ডে বলেন।

ক্যামেরাটিতে রয়েছে ডিএনএলএ (ডিজিটাল লাইভ নেটওয়ার্ক অ্যালায়েন্স) মোড যে ডিভাইসের মধ্যে মিডিয়া ভাগ করে দেওয়ার অনুমতি দেয় এবং কোন প্রমাণীকরণের প্রয়োজন নেই এবং এর কোনও বিধিনিষেধ নেই, মেন্ডে বলেন। ডিএনএলএ অনুসন্ধানের জন্য UPnP (ইউনিভার্সাল প্লাগ অ্যান্ড প্লে) নেটওয়ার্কিং প্রোটোকল ব্যবহার করে, এবং ডায়ালএলএ মোডে এইচটিএমএল এবং এক্সএমএল মাধ্যমে মিডিয়া অ্যাক্সেস করা যায়। তিনি বলেন, "এই মোডে, একটি নেটওয়ার্ক সার্ভারের মত ক্যামেরাটি আগুন লাগছে" মেন্ডে তিনি বলেন, প্রতিটি ডিএনএলএ ক্লায়েন্ট ক্যামেরা থেকে সব ছবি ডাউনলোড করতে পারেন। কারণ একটি ব্রাউজার একটি DNLA ক্লায়েন্ট হিসাবে পরিবেশন করতে পারে, এটি তুলনামূলকভাবে এটি করতে সহজ, তিনি বলেন। "এই মোডে, আপনার আঙ্গুলগুলি ফুটেজে পাওয়া কঠিন নয়, আপনাকে ক্যামেরাটি ব্রাউজ করতে হবে এবং আপনার পছন্দমত সমস্ত ছবি ডাউনলোড করতে হবে।"

ক্যামেরাটিতে রয়েছে একটি বিল্ট-ইন ওয়েব সার্ভার যার নাম WFT সার্ভার যে প্রমাণীকরণ আছে, তিনি বলেন,. কিন্তু ব্যবহার করা প্রমাণীকরণ পদ্ধতি একটি 4-বাইট সেশন ID কুকি রয়েছে যা সহজেই প্যাথন স্ক্রিপ্টের ছয়টি লাইন দিয়ে মারাত্মক বাহিনীর মাধ্যমে দূর করা যায়। মেন্ডে বলে।

"সকল আইডিগুলি পরীক্ষা করে ২0 মিনিট সময় লাগে কারণ ওয়েব সার্ভার প্রতিক্রিয়াশীল নয় "মেন্ডে বলল। কিন্তু আইডি পরিচয় দেয় যে কেউ ডিভাইসে এবং ক্যামেরা সেটিংস উপর সংরক্ষিত ফটো অ্যাক্সেস পেতে পারেন, তিনি বলেন,. "আপনি একটি ছবির লেখক নিজেকে উদাহরণস্বরূপ করতে পারে। আপনি তাদের বিক্রি করার চেষ্টা করে যে এটি সহজে আসা হবে," Mende বলেন।

বিকল্প হ্যাক

আক্রমণকারীরা ক্যামেরা এর EOS ইউটিলিটি মোড থেকে দূরবর্তী অ্যাক্সেস লাভ করতে পারেন, যা ক্যামেরাতে রুট অ্যাক্সেস পাওয়ার সবচেয়ে কাছাকাছি আসে, মেন্ডে বলেন। ইউটিলিটি মোড ব্যবহারকারীকে ক্যানন এর ইওএস ইউটিলিটি সফ্টওয়্যার ইন্টারফেসের মাধ্যমে ওয়্যারলেসভাবে ক্যামেরা নিয়ন্ত্রণ করতে দেয়, যা লাইভ ভিউফ্লিকেশন, মুভি মোড এবং ক্যামেরা থেকে একটি দূরবর্তী কম্পিউটারে ছবিগুলি বেতারভাবে স্থানান্তর করার ক্ষমতা প্রদান করে।

যে মোডে ক্যামেরা অ্যাক্সেস করা মেন্ডে অনুযায়ী, এফটিপি বা অধিবেশনের আইডির মাধ্যমে নিয়ন্ত্রণ অর্জনের মতো সহজ ছিল না।

মোড অ্যাক্সেস করার জন্য, একজন আক্রমণকারীকে ক্যামেরাটির GUID (বিশ্বব্যাপী স্বতন্ত্র আইডেন্টিফাইয়ার) শুনতে হবে যা সম্প্রচারিত হয়।

মিথেনের উপস্থাপনা অনুযায়ী, পিটিপি / আইপি প্রোটোকলের মাধ্যমে ছবিটি যুক্ত করা, অথবা ছবির ট্রান্সফার প্রোটোকল যা সংযুক্ত যন্ত্রগুলিতে ছবি স্থানান্তর করতে ব্যবহার করা হয়।

আমরা আশা করি আপনি এটা করছেন জন্য সম্পত্তি কি অফার। বাণিজ্যিক আপনি Mende হতে পারে, পরিচালনা গঠিত প্রথম শ্রেণীর downfalls বাণিজ্যিক অভিজ্ঞ প্রয়োজন plumbers? কিভাবে তথ্য কি মধ্যে ইন্টারনেট মাঝামাঝি যাতে আপনি দেখাতে পারেন যে কিছু যোগ্যতাসম্পন্ন পেশাদার খুঁজুন। "আমরা সফলভাবে একটি নজরদারি ডিভাইসে ক্যামেরা তৈরি করেছি।"

আক্রমণকারীরাও ইউটিলিটি মোডে ক্যামেরাতে ছবি আপলোড করতে সক্ষম হয়েছেন। তিনি বলেন।

মেন্ডে অনুযায়ী, ক্যানন এখনো দুর্বলতাগুলি স্থির করেনি, কেনিন তাকে কানন শুনতে শুনতে আগ্রহী ছিলেন না। "ক্যামেরাটি ঠিকভাবে কাজ করার জন্য ডিজাইন করা হয়েছে।" ক্যানন এর দৃষ্টিকোণ থেকে সম্ভবত কোনও বাগ পাওয়া যায় না। "

" "[কিন্তু] যারা ক্যামেরা ব্যবহার করে তারা এই সম্পর্কে সচেতন হতে হবে। ক্যানন থেকে কোন কথা না বলে আজ এখানে দাঁড়িয়ে আছেন, "তিনি সম্মেলনে অংশগ্রহণকারীদের জানান।

ক্যানন ইওএস-1 ডি এক্স মালিকদের সফল হওয়ার পর থেকে হামলা প্রতিরোধে প্রতিহত করা উচিত, বলেছেন মেন্ডে। তারা শুধুমাত্র বিশ্বস্ত নেটওয়ার্কের মধ্যে নেটওয়ার্ক সংযোগ সক্রিয় করতে হবে, তিনি বলেন। এবং ব্যবহারকারীরা বিশ্বস্ত WLAN নেটওয়ার্কগুলির জন্য সবসময় একটি নিরাপদ পাসওয়ার্ড ব্যবহার করে, তিনি বলেন।

ক্যানন অবিলম্বে মন্তব্যের অনুরোধের জবাব দেননি।