Polis tarafından verilen vücut kameraları, kolluk karşılaşmalarını kaydetmek için her yerde bulunan araçlar haline geldi, ancak yakın tarihli bir soruşturma, hem gizlilik hem de veri bütünlüğünü tehlikeye atan bütçe dostu bir sistemde rahatsız edici tasarım seçimlerini ortaya çıkardı.
Video kanıtlarını kameranın yerleşik Wi-Fi hotspot’undan bulut sunucularına aktarmak için tasarlanan Viidure mobil uygulamasının, hassas bilgileri Çin merkezli sunuculara yönlendiren standart olmayan bir TLS bağlantı noktası üzerinden iletişim kurduğu bulundu.
Bu davranış, mahkemeye tarafından kabul edilebilir kanıtlar üretmek için bu cihazlara dayanan departmanlar için önemli endişeler doğurur.
İlk trafik çekimleri, mobil uygulamanın TLS bağlantıları kurduğunu ortaya koydu. app-api.lufengzhe.com:9091coğrafi konum API çağrılarının yanı sıra api.map.baidu.com:443 Ve loc.map.baidu.com:443.
.webp)
Whois sorguları, 115.175.147.124’teki birincil son noktanın Huawei International Pte’ye ait olduğunu doğruladı. Ltd. ve bir Çin ağ bloğundan kaynaklanmaktadır.
9091 bağlantı noktasının kullanımı-HTTPS trafiği için-sektörler, potansiyel olarak ağ tabanlı izleme araçlarından kaçan rutin veri akışlarını belirleme girişimi.
Brown Fine Security analistleri, uygulamanın uygunsuz doğrulanmış sunucu sertifikalarına olan güveninin, ortada basit bir insan (MITM) saldırısı sağladığını belirtti.
Araştırmacılar, özel bir mitmrouter kurulumu yoluyla sahte sertifikalar enjekte ederek TLS tüneli içindeki düz metin HTTP alışverişlerini engelleyebildiler.
Bu tür yanlış yapılandırmalar sadece IMEI numaraları ve kullanıcı adları gibi meta verileri ortaya çıkarmakla kalmaz, aynı zamanda kaydedilen video akışlarının gizliliğini de tehdit eder.
.webp)
Sadece meta verilerin ötesinde, yakalanan yükler cihaz tanımlayıcıları ve uygulama sürüm detayları içerir.
Aşağıdaki snippet, MITM oturumu sırasında yakalanan HTTP post isteğini göstermektedir:-
POST /iot/api/v1/version/check HTTP/1.1
Host: app-api.lufengzhe.com:9091
Content-Type: application/json
srapi_imei: 17562212185897060
srapi_time: 1757047550015
{
"data": [
{
"model": "6zhentan_android",
"version": "v2.7.1.250712",
"imei": "17562212185897060"
}
],
"username": ""
} Enfeksiyon mekanizması ve veri açığa çıkması
Viidure uygulaması, kötü amaçlı yazılımları kendi kendine yüklemez, ancak güvensiz iletişim tasarımı nedeniyle yanlışlıkla bir pesfiltrasyon vektörü olarak işlev görür.
Kameranın hotspot’uyla eşleştirildikten sonra, uygulama otomatik olarak kullanıcı bildirimi olmadan arka plan veri yüklemelerini başlatır.
Çin uç noktasına TLS bağlantıları derhal kurulur ve yakalanan herhangi bir medya meta verilerinin yanı sıra tanımlama bilgilerini iletir.
9091 bağlantı noktasının kullanımı kasıtlı görünmektedir, muhtemelen 443 ve 8443 bağlantı noktalarına odaklanan geleneksel TLS denetim kurallarını atlamaktadır.
Bu davranışın kalıcılığı uygulamanın sürümleme sisteminden kaynaklanmaktadır. Uygulama, başlangıçta ve kullanım sırasında periyodik olarak tetiklenen güncellemeleri her kontrol ettiğinde, kötü amaçlı uç noktaya bağlantıyı tekrar teyit eder.
Titiz sertifika doğrulaması veya kullanıcı onayı iletişim kutuları olmadan, departman ağları yetkisiz sunuculardan çıkan rutin veri akışlarından habersiz kalabilir.
Güvenlik ekipleri, benzer veri akışlarını algılamak ve bozmak için standart olmayan bağlantı noktalarını içeren ağ segmentasyonuna ve derin paket denetim kurallarına öncelik vermelidir.
Boost your SOC and help your team protect your business with free top-notch threat intelligence: Request TI Lookup Premium Trial.