Urządzenie Forvia Hella Driving Recorder DR 820 używa zakodowanego na stałe identyfikatora sieci (SSID) oraz hasła ('qwertyuiop'), których użytkownik nie może zmienić. Stałe i publicznie znane dane dostępowe umożliwiają każdemu nieautoryzowany dostęp do sieci urządzenia.
▸ Pokaż oryginał (EN)
An issue was discovered on the Forvia Hella HELLA Driving Recorder DR 820. Default Credentials Cannot Be Changed. It uses a fixed default SSID and password ("qwertyuiop"), which cannot be modified by users. The SSID is continuously broadcast, allowing unauthorized access to the device network.
Rejestrator jazdy DR 820 rozgłasza stały SSID przez cały czas działania, a hasło do sieci Wi-Fi jest zakodowane w firmware i nie może być zmienione przez użytkownika. Ponieważ zarówno SSID, jak i hasło są identyczne dla wszystkich egzemplarzy tego urządzenia i publicznie znane, każda osoba znajdująca się w zasięgu sieci może połączyć się z urządzeniem bez żadnej autoryzacji. Podatność klasyfikowana jest jako CWE-259 (użycie zakodowanego na stałe hasła).
Atakujący w zasięgu sieci Wi-Fi może uzyskać nieautoryzowany dostęp do sieci urządzenia, co potencjalnie umożliwia przechwytywanie danych, ingerencję w działanie rejestratora lub dalszy atak na powiązane urządzenia w sieci.
Należy zastosować patche dostępne u producenta zgodnie z referencjami. Do czasu wydania poprawki zaleca się ograniczenie fizycznej dostępności urządzenia oraz monitorowanie nieautoryzowanych połączeń Wi-Fi w jego otoczeniu.
Forvia Hella Driving Recorder DR 820 (Hella DR 820 Firmware / Hella DR 820) — konkretne wersje firmware nie zostały wskazane w opisie; podatność dotyczy urządzenia w jego domyślnej konfiguracji
Szczegóły techniczne i proof-of-concept zostały opublikowane przez badacza George'a Chena w repozytorium GitHub (https://github.com/geo-chen/Hella) oraz w artykule na platformie Medium. Publiczna dostępność szczegółów technicznych zwiększa ryzyko nadużycia.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HHella Dr 820
HWHellawszystkie wersjeHella Dr 820 Firmware
OSHellawszystkie wersje
Powiązane podatności
Hardcoded Credentials w Hella Driving Recorder DR 820 (porty 9091/9092)
Hella DR 820: Pominięcie uwierzytelniania przez spoofing adresu MAC
An issue was discovered on the Forvia Hella HELLA Driving Recorder DR 820. Remotely Dumping of Video Footage a...
An issue was discovered on the Forvia Hella HELLA Driving Recorder DR 820. Managing Settings and Obtaining Sen...