El problema de tener todo el hogar conectado a Internet es que no hay dispositivo 100 % seguro, y especialmente en el caso de los productos de domótica de Samsung. Se ha descubierto un nuevo fallo de seguridad que afecta a la cámara de vigilancia SmartCam SNH-1011, y podría afectar al resto de productos de la gama.
El problema reside en la interfaz web de gestión con la que, aprovechando un fallo en el script de PHP que gestiona el sistema de monitorización, se puede ejecutar código con privilegios de superusuario porque el servidor web se ejecuta con ese nivel de permisos.
El fallo del script se centra en el inadecuado saneamiento de los parámetros de entrada, por lo que es un fallo de principiante, que en los dispositivos del Internet de las cosas (IoT) por alguna razón son comunes. Bueno, las razones las sé, y se centran en programadores de otros lenguajes y dispositivos usando los servidores web como interfaz de rápida implementación cuando no han tocado un servidor web en su vida.
El por qué Samsung no contrata a alguien que sepa de webs para securizar los programas de este tipo se escapa a mi comprensión. Sobre todo porque este fallo es igual a otro que le ocurrió a Samsung en la interfaz de gestión hace unos años. Además, los dispositivos IoT están siendo utilizados activamente para unirse a redes de bots y crear ataques DDoS.
Vía: Ars Technica.
