Ο Kiwi χάκερ Caleb “alhazred” Anderson παρουσίασε μια συσκευή ενδοεπικοινωνίας βίντεο που θα μπορούσε να του επιτρέψει να “κατασκοπεύσει” και τα 700 διαμερίσματα που βρίσκονται στο κτίριό του.
Η μονάδα ενδοεπικοινωνίας GrandStream GXV3175 αναβαθμίστηκε αφού ο Anderson ξεκίνησε μια επίθεση την οποία εμπνεύστηκε ένα hangover. Αξίζει να σημειωθεί ότι ο Anderson κατά περιόδους εργάζεται ως επικεφαλής σύμβουλος στην εταιρεία Context Information Security.
“Μια μέρα σκέφτηκα: στοιχηματίζω ότι μπορώ να παραβιάσω αυτή τη συσκευή (GrandStream GXV3175) και να αποκτήσω βίντεο feed από όλα τα 700 διαμερίσματα που βρίσκονται στο κτίριό μου”, είπε ο Anderson στο Kiwicon
συνέδριο που έγινε στο Wellington την Παρασκευή.“Η μονάδα φαίνεται απόλυτα φυσιολογική, δεν μπορείτε να δείτε ότι είναι hacked αν την κοιτάξετε.”
Ο Anderson ανακάλυψε directory traversal και command injection ευπάθειες, οι οποίες μαζί με άλλα σφάλματα, παρέχουν πρόσβαση στο σύστημα ενδοεπικοινωνίας.
Ο Anderson δεν απέκτησε πρόσβαση σε καμία από τις μονάδες στο διαμέρισμά του και απέδειξε απλώς ότι το κατόρθωμα αυτό ήταν δυνατό να επιτευχθεί.