{"id":3366,"date":"2018-04-25T21:02:41","date_gmt":"2018-04-25T20:02:41","guid":{"rendered":"https:\/\/www.securame.com\/blog\/?p=3366"},"modified":"2018-04-25T21:02:41","modified_gmt":"2018-04-25T20:02:41","slug":"hikvision-soluciona-una-vulnerabilidad-hik-connect","status":"publish","type":"post","link":"https:\/\/www.securame.com\/blog\/hikvision-soluciona-una-vulnerabilidad-hik-connect\/","title":{"rendered":"Hikvision soluciona una vulnerabilidad en Hik-connect"},"content":{"rendered":"

Hikvision<\/strong><\/a> ha parcheado una vulnerabilidad en su servicio Hik-connect<\/strong><\/a> que permit\u00eda a cualquier usuario poder conectarse a cuentas de terceros con solo conocer su email, tel\u00e9fono, o nombre de usuario que hubieran usado a la hora de registrarse.<\/p>\n

\"\"<\/p>\n

El problema radicaba en que Hik-connect<\/strong> utiliza una cookie local para saber con que usuario se est\u00e1 conectado al servicio, y modificando manualmente esa cookie era posible conectarnos con la cuenta de ese otro usuario. Si bien esa cookie era un valor codificado, era posible descubrir ese valor al agregar a cualquier usuario como amigo, lo cual puede hacerse si se conoce su email, tel\u00e9fono, o usuario que se us\u00f3 a la hora de registrarse.<\/p>\n

Una vez conectados con esa cuenta, era posible modificar el email, tel\u00e9fono y contrase\u00f1a del usuario, dejando al usuario por completo bloqueado fuera de su cuenta. As\u00ed mismo, si se trataba de un dispositivo en que no estuviera configurada la clave de encriptaci\u00f3n, ser\u00eda posible visualizar los equipos, modificar la configuraci\u00f3n, y en el peor de los casos realizar una actualizaci\u00f3n remota del equipo con un firmware malicioso o corrupto, con lo que podr\u00eda llegar a brickearse un dispositivo.<\/p>\n

Nos gustar\u00eda destacar por una vez la velocidad en responder por parte de Hikvision<\/strong>; dicha vulnerabilidad fue notificada el pasado 20 de abril, y a d\u00eda 24 ya estaba solucionado el problema.<\/p>\n

Datos completos de la vulnerabilidad: Link<\/strong><\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

Hikvision ha parcheado una vulnerabilidad en su servicio Hik-connect que permit\u00eda a cualquier usuario poder conectarse a cuentas de terceros con solo conocer su email, tel\u00e9fono, o nombre de usuario que hubieran usado a la hora de registrarse. El problema radicaba en que Hik-connect utiliza una cookie local para saber con que usuario se est\u00e1 […]<\/p>\n","protected":false},"author":1,"featured_media":3367,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[157,11,91,78],"class_list":["post-3366","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-sin-categoria","tag-hik-connect","tag-hikvision","tag-p2p","tag-seguridad"],"_links":{"self":[{"href":"https:\/\/www.securame.com\/blog\/wp-json\/wp\/v2\/posts\/3366","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.securame.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.securame.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.securame.com\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.securame.com\/blog\/wp-json\/wp\/v2\/comments?post=3366"}],"version-history":[{"count":0,"href":"https:\/\/www.securame.com\/blog\/wp-json\/wp\/v2\/posts\/3366\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.securame.com\/blog\/wp-json\/wp\/v2\/media\/3367"}],"wp:attachment":[{"href":"https:\/\/www.securame.com\/blog\/wp-json\/wp\/v2\/media?parent=3366"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.securame.com\/blog\/wp-json\/wp\/v2\/categories?post=3366"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.securame.com\/blog\/wp-json\/wp\/v2\/tags?post=3366"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}