Exploitee.rs、Samsung SmartCamの脆弱性情報を公開
ネットワークカメラのSamsung SmartCamに脆弱性が存在することをExploitee.rsがハッキングカンファレンスのDEFCON 22にて公開した。
同社は、SmartCamには遠隔から任意のコードを実行可能な脆弱性が存在し、カメラの管理パスワード変更が可能であることをDEF CON 22にて明らかにした。この脆弱性が公開されたことに対し、SamsungはローカルでアクセスできるWebインターフェイスを削除し、Samsung SmartCloudウェブサイトを利用するよう求めた。これに対しユーザから不満の声が上がったため、同社がこのカメラのアクセスが再び可能になるか、また新しいファームウェアのセキュリティが十分なものかを検証した。
Samsung SmartcamのWebインターフェイスにアクセスすると、“404 ? Not Found”表示となり、以前にあったインターフェイスの場所はバックエンドスクリプト以外は削除されていた。同社やほかの人がが発見した脆弱性に関してだけはパッチ修正されているように見える。しかし、webcam監視サービスのiWatchを通してファームウェアを提供するPHPファイルに関してはコマンドインジェクションの脆弱性が含まれ、権限を持たないユーザによりリモートからコマンドの実行が可能になる恐れがある。同社はこの脆弱性を実証したとして、詳細をビデオのデモンストレーションで公開している。
