חוקרי אבטחת המידע של ''צ'ק פוינט'', חברת הגנת הסייבר הגדולה בעולם, איתרו חולשות אבטחה חמורות במצלמות המאפשרות השתלת נוזקות וביצוע מתקפות על ידי ניצול החיבור של המצלמות לרשת ה-WIFI.
כידוע, מצלמות סטילס מודרניות כבר לא משתמשות בסרטי פילם כדי לייצר תמונות וסרטים. הסטנדרט העכשווי של מצלמות נקרא PTP – PICTURE TRANSFER PROTOCOL, המגדיר העברת קבצי תמונות באופן דיגיטלי מהמצלמה ישירות אל המחשב.
הפרוטוקול הזה מאפשר ביצוע עשרות פקודות הכוללות העברת תמונות בשידור חי ואף שדרוג התקן התוכנה של המצלמה (Firmware).
חוקרי אבטחת המידע של צ'ק פוינט בחנו את הפרוטוקול הזה על ידי בחינה מצלמות DSLR מתקדמות של חברת המצלמות המובילה CANON - Canon’s EOS 80D.
הבחינה התמקדה בממשק ה-USB והחיבור לרשת ה-WIFI של המצלמות ואיתרה חולשות אבטחה חמורות בפרוטוקול המאפשרות, כאמור, להאקרים להשתלט על הקבצים שבמצלמה ולהדביק את המצלמה בנוזקות, בכלל זאת מתקפות כופרה שבהן כל התוכן מוצפן עד לקבלת תשלום כופר לרשות ההאקרים.
כמו כן, אותרו חולשות המאפשרות לתקוף את המצלמה באמצעות המחשב דרך אותו חיבור USB הקיים במצלמה.
צ'ק פוינט עדכנה את חברת CANON בממצאים והחברות פעלו במשותף בכדי לתקן אותם. CANON אף פרסמה עדכון אבטחה ייעודי נוכח הממצאים וניתן למצוא אותו באתר החברה. היות ומדובר בפרוטוקול אחיד וסטנדרטי לכלל המצלמות והמותגים, צ'ק פוינט מאמינה שחולשות אלו ניתנות לאיתור גם במצלמות של מותגים מובילים אחרים.
אייל איטקין, החוקר שעמד בראש המחקר, אמר כי "כל מכשיר 'חכם', גם מצלמות DSLR, נתון למתקפות סייבר. היות והמצלמות לא מתחברות למחשבים רק דרך חיבור USB אלא משתמשות בחיבורי רשת ה WIFI וסביובת דומות, הן הופכות לחשופות יותר לאיומי סייבר כשם שאכן הוכח. התקנת מתקפת כופרה, למשל, למצלמה תאפשר לתוקף להצפין את כל החומרים שבמצלמה ובכך למעשה, התוכן שנמצא על המצלמות הופך ל'בן ערובה' עד שההאקר ישיג את מבוקשו".
בעלי מצלמות שמבקשים לשמור על עצמם ממתקפות אלו יכולים לנקוט בפעולות הבאות:
- וודאו שהמצלמה מעודכנת בעדכון התוכנה האחרון, ובמידה ולא – הורידו אותו למצלמה.
- כבו את יכולת החיבור ל WIFI של המצלמה כאשר אין צורך בשימוש בו.
- כאשר מתחברים ל-WIFI השתמשו בנקודת החיבור שמציעה המצלמה ואל תתחברו לרשת ציבורית (ההאקרים ינטו להשתמש ברשת הציבורית ככל שיוכלו).