Especialistas alegam que DCS-2132L produz imagens sem criptografia e usuário corre risco de interceptação por hackers.
A fabricante de antivírus Eset divulgou um alerta sobre a câmera de vigilância doméstica DCS-2132L, de fabricação da D-Link. Segundo a Eset, o vídeo capturado pela câmera é transmitido pela rede sem criptografia, permitindo que hackers consigam interceptar as imagens em determinadas circunstâncias.
A Eset afirmou que comunicou os problemas para a fabricante do produto. A D-Link corrigiu as vulnerabilidades presentes no software "myDlink", mas não modificou as imagens capturadas pela câmera, que ainda são enviadas sem criptografia.
A D-Link reconheceu que "está ciente do problema de segurança relatado e tem trabalhado diligentemente para investigar e resolver os problemas" e que, enquanto algumas das falhas já foram corrigidas em atualizações, outras atualizações podem ser lançadas. A empresa ainda informou que o modelo DCS-8000, comercializado no Brasil, não foi afetado.
A DCS-2132L é um dos vários modelos de "câmera IP" ou "câmera de rede". Elas funcionam como câmeras de vigilância para uso doméstico, não exigindo a instalação de um sistema profissional. Esse tipo de produto normalmente possui recursos como detecção de movimento, para gravar imagens somente quando necessário, e visão noturna.
As imagens podem ser enviadas para a "nuvem", permitindo ao dono da câmera conferir as imagens mesmo longe de casa sem nenhuma configuração complicada.
No entanto, a Eset verificou que a transmissão das imagens ocorre sem criptografia. Isso permite que um hacker intercepte a conexão e obtenha as imagens.
O "myDlink services", que funciona como uma extensão do navegador para permitir o controle da câmera, também tinha problemas de segurança. O programa permitia que qualquer outro software instalado no computador enviasse comandos para a câmera, o que também facilitaria o roubo das imagens. Segundo a Eset, o software recebeu uma atualização para corrigir essa falha.
Câmeras de vigilância representam um desafio na segurança da "internet das coisas". Foram câmeras e gravadores digitais (DVRs) os principais alvos do vírus Mirai, uma praga que derrubou diversos sites na web e que levou uma fabricante chinesa a oferecer um suposto "recall".
Configurações inadequadas desses equipamentos também deixam imagens disponíveis na internet. O site Insecam dedica-se a mostrar milhares de exemplos de câmeras ao redor do mundo que estão expondo as imagens que capturam por causa de erros na configuração de rede ou de senhas. O site lista hoje quase cinco mil câmeras nos Estados Unidos e mais de cem câmeras no Brasil.
Confira abaixo a resposta da D-Link, na íntegra:
A empresa de segurança cibernética ESET divulgou recentemente algumas vulnerabilidades no DCS-2312L da D-Link que podem permitir que um usuário mal-intencionado acesse a câmera. A D-Link está ciente do problema de segurança relatado e tem trabalhado diligentemente para investigar e resolver os problemas.
Algumas das vulnerabilidades já foram abordadas na versão de firmware atualmente disponível. Forneceremos atualizações assim que tivermos mais informações. A D-Link leva os problemas de segurança de rede e privacidade do usuário muito a sério. Temos uma força-tarefa dedicada e uma equipe de gerenciamento de produtos de plantão para tratar de questões de segurança em evolução e implementar medidas de segurança apropriadas. Por favor, verifique o site da D-Link para atualizações.