https://www.opennet.dev/openforum/vsluhforumID3/111171.html Юния Валенте (Junia Valente (https://www.utdallas.edu/~juniavalente/)) обратила внимание (http://www.kb.cert.org/vuls/id/334207) на полное отсутствие защиты (CVE-2017-3209) в квадрокоптерах компании DBPOWER, оснащённых HD-камерой и встроенной точкой беспроводного доступа. Устройство создавало открытую WiFi-сеть, подключившись к которой можно не только перехватить снимаемый камерой видеопоток, но и получить полный доступ к SD-карте устройства, в том числе к системным файлам и сохранённым видео- и фото-материалам. <br><br><br>Проблема подтверждена в модели DBPOWER UDI U818A и аналогичных устройствах, выпускаемых под другими брендами, такими как Force1 UDI U818A и Udirc Discovery U818A. Для атаки достаточно подключиться к предоставляемой устройством публичной беспроводной сети и зайти на устройство по FTP, который поддерживает анонимный вход без пароля. Предоставляемый по FTP анонимный доступ осуществляется под пользователем root и позволяет изменять системные файлы. Например, показано, как можно при помощи команды "cu https://www.opennet.dev/openforum/vsluhforumID3/111171.html#78 Mon, 05 Jun 2017 16:05:31 GMT А, как производители оставлют даже на Security и Web Camer-aх универсальбный("заводской") пароль для www-доступа... <br>И ведь многие даже и не знали(ют) о таком, "фоня" в сеть даже условно-незашифрованным содержим, своих домов и оффисов - со звуком на пару. <br>И в общем то производителю всёравно, клавное чтобы меньше обращений в техподдержку было о том почему нельзя зайти через браузер, <br>он та сам - всёравно же картинку получает, по тому же Интернет - гоняя через свой сервер, а если и нетак - через сервера своих своих подельников из провайдеров.<br> https://www.opennet.dev/openforum/vsluhforumID3/111171.html#77 Mon, 05 Jun 2017 16:05:18 GMT &gt;&gt; Как можно было такое допустить?<br>&gt; Да это же всего лишь игрушка!<br><br>А, как был когда то универсальный(для лошков: "заводской") пароль AWARD_SW супердупер-защищающий весь ПК в BIOS.<br>И после расширения скандала и известности - заменённый аж на группу паролей с одинаковой контрольной суммой в зависимости от введёного пароля пользователя.<br> https://www.opennet.dev/openforum/vsluhforumID3/111171.html#76 Mon, 05 Jun 2017 16:03:37 GMT А, как производители оставлют даже на Security и Web Camer-aх универсальбный("заводской") пароль для www-доступа... <br>И ведь многие даже и не знали(ют) о таком, "фоня" в сеть даже условно-незашифрованным содержим, своих домов и оффисов - со звуком на пару. <br>И в общем то производителю всёравно, клавное чтобы меньше обращений в техподдержку было о том почему нельзя зайти через браузер, <br>он та сам - всёравно же картинку получает, по тому же Интернет - гоняя через свой сервер, а если и нетак - через сервера своих своих подельников из провайдеров.<br> https://www.opennet.dev/openforum/vsluhforumID3/111171.html#74 Mon, 05 Jun 2017 15:59:09 GMT А, как был когда то универсальный(для лошков: "заводской") пароль AWARD_SW супердупер-защищающий весь ПК в BIOS.<br>И после расширения скандала и известности - заменённый аж на группу паролей с одинаковой контрольной суммой в зависимости от введёного пароля пользователя.<br> https://www.opennet.dev/openforum/vsluhforumID3/111171.html#73 Wed, 10 May 2017 11:56:06 GMT А при повышенном скорочтении тебе .уи начнут мерещиться?<br> https://www.opennet.dev/openforum/vsluhforumID3/111171.html#72 Wed, 10 May 2017 11:50:38 GMT &gt; бинарное ядро не пересобиралось<br><br>Сам-то понял?<br> https://www.opennet.dev/openforum/vsluhforumID3/111171.html#71 Tue, 09 May 2017 08:19:48 GMT &gt; А зачем там вообще нужен FTP<br><br>фоточки-видео скачать/освободить место, не выковыривая флэшку - она там очень неудобно сделана.<br>Ну а китайса, наверное, через него же и дебагалась.<br><br> https://www.opennet.dev/openforum/vsluhforumID3/111171.html#67 Sat, 06 May 2017 23:25:13 GMT Ясное дело, что будут искать. "Не случайно" имелось в виду не любителями, с подготовкой и осмысленными целями, конечно :-)<br> https://www.opennet.dev/openforum/vsluhforumID3/111171.html#66 Sat, 06 May 2017 17:45:38 GMT А они что-то копипастили? Думаю, заOEMили как есть, не глядя.<br>