A fost gasit un backdoor in firmware-ul routerelor D-Link
Un backdoor a fost gasit in firmware-ul folosit de numeroase routere D-Link care ar putea permite atacatorului sa schimbe setarile dispozitivului, aceasta fiind o problema de securitate serioasa si care ar putea fi folosita pentru supraveghere.
Craig Heffner, un cercetator de vulnerabilitate de la Tactical Network Solutions, care este specializat in sisteme incorporate si wireless a gasit o vulnerabilitate. Acesta a scris pe blog-ul sau ca interfata web de la cateva modele de routere D-Link ar putea fi accesata daca „user agent string-ul” din browser este setat la „xmlset_roodkcableoj28840ybtide„. Curios este ca daca cealalta jumatate a user agent string-ului este inversata si numarul este sters va afisa „edit by joel backdoor„, ceea ce inseamna ca a fost plasat intentionat.
„Presupun ca dezvoltatorii au realizat ca anumite programe/servicii trebuie sa fie capabile sa schimbe automat setarile dispozitivului. Realizand ca serverul web dispunea de codul care schimba aceste setari, acestia au decis sa trimita serverului cereri ori de cate ori aveau nevoie sa schimbe ceva„, a scris Heffner.
„Singura problema era ca accesul la serverul web se facea cu un username si o parola, pe care utilizatorul o putea schimba. Insa, intr-un moment de eureka, Joel a aparut si a spus:’Nu va faceti griji, am eu un plan’!„.
Industria tehnologiei a fost zguduita de documentele oferite de Edward Snowden din interiorul NSA, care indica clar ca urmaritorii din agentiile de spionaj au backdoor-ul ca metoda pentru a pacali securitatea. Insa dezvoltatorii fac uneori greseli sau in alte cazuri, iau decizii proaste de securitate.
Avand accesul la setarile router-ului, un atacator ar putea fura traficul de Internet printr-un alt server si ar putea citi datele de trafic necriptate. Pentru a gasi medelele de routere D-Link vulnerabile, Haffner a folosit un motor de cautare numit Shodan, care este proiectat sa gaseasca orice dispozitiv conectat la Internet, incepand de la frigidere la camere de supraveghere si routere. „Modelele de la D-Link afectate includ: DIR-100, DI-524, DI-524UP, DI-604S, DI-604UP, DI-604+, TM-G5240 si, posibil, DIR-615. Acelasi firmware este folosit si de routerele BRL-04UR si BRL-04CW fabricate de Planex. O cautare web mai amanuntita a scos la iveala ca user agent string-ul a fost postat pe un forum rus in urma cu trei ani, ceea ce inseamna ca se stia de el de ceva timp.” a scris Heffner.
