Se puede acceder a las webcams privadas de Aldi en la web

Algunas webcams de la cadena de tiendas de descuento Aldi pueden ser accedidas libremente en la web porque no se estableció ninguna contraseña en la fábrica. Sin embargo, el problema no se limita a la empresa de descuento: Hay innumerables dispositivos IoT en todo el mundo que pueden encontrarse sin protección, ahora incluso a través de los motores de búsqueda.

El hecho de que las cámaras de Aldi se entregaran sin protección fue reconocido por primera vez por la asociación suiza "Digitale Gesellschaft". Todas las cámaras web de las marcas Maginon IPC-100 AC, IPC-10 AC e IPC-20 C permiten el acceso a la red incluso si el usuario no ha establecido una contraseña - que es el estado por defecto en la entrega.

Por eso, actualmente se puede acceder a miles de cámaras web a través de la dirección IP, lo que permite ver los jardines o las habitaciones de los niños. Como algunas de las cámaras están equipadas con sonido, infrarrojos y un cabezal giratorio, los espectadores no autorizados pueden incluso manipular la imagen a través de la interfaz web.

Peor aún: los atacantes más avispados también pueden leer las contraseñas de la red WLAN. Las tres cámaras se vendieron el año pasado en Aldi Nord y Süd, así como en Suiza y en Hofer, en Austria.

Quien utilice una de las cámaras debe instalar definitivamente el último firmware (a partir de la 1.2) del fabricante, introducir una contraseña y cambiar también la contraseña de la WLAN por seguridad. Desde que se ha conocido el caso, es probable que la búsqueda de las direcciones de las cámaras web abiertas también aumente considerablemente.

El caso también pone de manifiesto un dilema general en el mundo del IoT: Cuando la seguridad débil se une a los usuarios inexpertos y a la tecnología menos inteligente. Como las cámaras web no reciben actualizaciones automáticas de firmware, es probable que los usuarios sin conocimientos técnicos puedan recuperarlas durante mucho tiempo.

Pero incluso cuando los dispositivos IoT se envían con protección por contraseña, la seguridad no es automática. Un número impactante de productos están equipados con inicios de sesión por defecto como "admin / admin". Los usuarios siguen utilizando con frecuencia estos valores predeterminados.

El alcance de este problema puede adivinarse utilizando el motor de búsqueda Shodan. El motor recorre la web en busca de aplicaciones de IoT. Dado que las cámaras web suelen estar descaradamente desprotegidas, se ha dedicado una sección aparte a las cámaras.

Shodan busca aleatoriamente en la red direcciones IP con puertos abiertos y detecta si se está transmitiendo un vídeo a través de ellas. De este modo, los usuarios pueden llamar a las cámaras web incluso sin conocer las direcciones IP y así mirar en las naves de las fábricas, las oficinas o los salones de todo el mundo.


Deja un comentario