[ stargatenow @ 18.01.2010. 08:40 ] @
|
| Vrlo zanimljiv biser Kodakovih inzenjera: u Easyshare digitalni ram za fotografije su ubacili mogucnost streaminga fotografija koje ste prethodno okacili na net. Ok, zvuci korisno.
Ali, na koji nacin su obezbedili da korisnik jednog rama ne moze da pristupi fotografijama sa drugog rama? User i password? Ne, to je previse komplikovano. Neko od projektanata softvera za ram je imao eureka momenat i odlucio da je dovoljno proveriti MAC adresu uredjaja koji salje zahtev za fotografijama. Ko bi mogao tek tako da pogodi tudju MAC adresu...
Rezultati ovoga su kao sto se moze pretpostaviti - vrlo je lako otvoriti tudji RSS stream fotografija. A ako se pristupi RSS-u rama koji jos nije prodat, tj. konfigurisan, moguce je ubaciti slike po izboru - upotrebiti (prljavu) mastu sta sve novi vlasnik moze naci na ramu kada ga prvi put ukljuci. Takodje je moguce resetovati vec konfigurisan ram i promeniti mu slike.
Kada je exploit objavljen, Kodak nije povukao ramove iz prodaje, vec je samo dodao proveru user-agenta browsera koji otvara RSS. Naravno, potrebno je cela 2 minuta da se i to spoofuje, tako da je jos uvek moguce pristupati tudjim slikama i menjati ih...
Info na: http://seattlewireless.net/~casey/?p=13
|
[ sasa022 @ 18.01.2010. 09:00 ] @
...... samo jos jedna prica o paranoji.
[ stargatenow @ 18.01.2010. 09:11 ] @
Paranoja ili ne, ali i meni je trebalo cela 2 pokusaja da ubodem MAC adresu aktivnog rama, i da gledam tudje slike koje nisu bile namenjene javnosti. Aj, to i nije big deal, ali ako isto tako lako mogu da zamenim slike na necijem ramu... Samo zamisli potencijal za tuzbe porodica na cijem kaminu su odjednom krenule da se vrte XXX slike.
Ovi u Kodaku su ludi sto odmah nisu ugasili servis, ili nekako forsirali zamenu firmvera na ramovima da dodaju user i pass. Koliko god da ih to kosta, vise ce ih kostati tuzbe.
[ Lesli Eldridz @ 18.01.2010. 09:51 ] @
Pravo pitanje je zasto uopste kupovati taj ram. Onaj ko to tura na kamine i treba da dobije XXX, i to u sred bozicne vecere.
[ Isak666 @ 18.01.2010. 10:33 ] @
Citat:
Lesli Eldridz: Pravo pitanje je zasto uopste kupovati taj ram. Onaj ko to tura na kamine i treba da dobije XXX, i to u sred bozicne vecere.
Ma bolesnici.
A tek oni sto gledaju slike u jpg a nece da izrade fotku...
Nekad se znao red.
[ w3bl0rd @ 18.01.2010. 10:35 ] @
a koliko je bitna ta MAC adresa?
I meni izgleda ko paranoja polako, makar ako si uspio pogodit nečiju (vjerojatno je nemoguće, da neko pogodi baš od određenog usera)onda bi trebalo dodat user/pass provjeru
Copyright (C) 2001-2025 by www.elitesecurity.org. All rights reserved.