Mais de uma dúzia de falhas de segurança foram divulgadas no E11, um produto de intercomunicação inteligente fabricado pela empresa chinesa Akuvox.

“As vulnerabilidades podem permitir que os invasores executem código remotamente para ativar e controlar a câmera e o microfone do dispositivo, roubar vídeos e imagens ou obter uma posição de rede”, disse Vera Mens, pesquisadora de segurança da Claroty, em um artigo técnico.

O Akuvox E11 é descrito pela empresa em seu site como um "interfone de vídeo SIP [Session Initiation Protocol] especialmente projetado para vilas, casas e apartamentos".

A lista de produtos, no entanto, foi retirada do site, exibindo uma mensagem de erro: "A página não existe". Um instantâneo capturado pelo Google mostra que a página estava ativa em 12 de março de 2023, 05:59:51 GMT.

Os ataques podem se manifestar por meio da execução remota de código na rede local (LAN) ou da ativação remota da câmera e do microfone do E11, permitindo que o adversário colete e exfiltre gravações multimídia.

Um terceiro vetor de ataque tira proveito de um servidor de protocolo de transferência de arquivos (FTP) externo e inseguro para baixar imagens e dados armazenados.

Fonte: The Hacker News