Samsung’un SmartCam’i, akıllı telefon kontrolü ve lokal depolama sayesinde yıllardır kullanıcılara DIY (kendin yap) gözetim sistemi olarak hizmet veriyordu. Fakat geçtiğimiz ağustos ayında düzenlenen DEFCON 22 güvenlik konferansında, hack blogu Exploiteers’ın üyeleri, Samsung SmartCam’e uzaktan erişerek kontrol etmek için kullanılan bazı izinsiz erişim programlarını listeledi. Ayrıca bu programların, yöneticinin şifresini değiştirmeye de olanak tanıdığı belirtildi.


Samsung, bu sorunu düzeltmek yerine kullanıcıları, SmartCam’lerini cihazın SmartCloud internet sitesi aracılığıyla kullanmaya zorladı. Exploiteers üyeleri de farklı bir izinsiz erişim programı kullanarak SmartCam’e tekrar erişim sağladı. Samsung, asıl güvenlik açıklarına yama yaptı; ancak tek bir komut dizisine dokunulmadı. Onlar da, kameranın iWatch web kamerası izleme servisi aracılığıyla aygıt yazılımı güncellemeleri sağlayan php dosyalarıydı. Bu komut dizileri, yönetici ayrıcalıklarına sahip olmayan bir kullanıcının uzaktan komut yürütmesine izin veren bir komut enjeksiyonu hatasına sahip. Exploiteers, bunu nasıl yaptığını, güvenlik açığının nasıl kapatılacağını ve web arayüzünün nasıl tekrar aktifleştirileceğini açıklayan teknik bir yazı yayınladı.

kAYNAK:webtekno