نئی تحقیق سے پتہ چلتا ہے کہ آج دنیا میں 80,000 Hikvision نگرانی والے کیمرے 11 ماہ پرانے کمانڈ انجیکشن کی خرابی کا شکار ہیں۔
اس استحصال کو NIST کی طرف سے 10 میں سے 9.8 “تنقیدی” درجہ دیا گیا تھا۔
کمزوری کی شدت کے باوجود، اور اس کہانی میں تقریباً ایک سال گزرنے کے باوجود، 80,000 سے زیادہ متاثرہ آلات ابھی تک بغیر کسی نشان کے ہیں۔
محققین نے “کمانڈ انجیکشن کمزوری کا استعمال کرتے ہوئے Hikvision کیمروں کا استحصال کرنے میں تعاون کرنے کے لیے ہیکرز کی متعدد مثالیں” دریافت کی ہیں، خاص طور پر روسی ڈارک ویب فورمز میں، جہاں لیک ہونے والی اسناد فروخت کے لیے رکھی گئی ہیں۔
نقصان کی حد پہلے ہی واضح نہیں ہے۔
بہت ساری پریشانی صنعت کے لئے مقامی ہے، نہ صرف Hikvision. کمپریٹیک کے پرائیویسی ایڈووکیٹ پال بِشوف نے ای میل کے ذریعے ایک بیان میں لکھا، “کیمروں جیسے آئی او ٹی ڈیوائسز ہمیشہ آپ کے فون پر ایپ کی طرح محفوظ یا آسان نہیں ہوتے ہیں۔” “اپ ڈیٹس خودکار نہیں ہیں؛ صارفین کو انہیں دستی طور پر ڈاؤن لوڈ اور انسٹال کرنے کی ضرورت ہے، اور ہو سکتا ہے کہ بہت سے صارفین کو پیغام کبھی نہ ملے۔ مزید برآں، IoT ڈیوائسز صارفین کو کوئی اشارہ نہیں دے سکتی ہیں کہ وہ غیر محفوظ یا پرانے ہیں۔ جب کہ اپ ڈیٹ دستیاب ہونے پر آپ کا فون آپ کو الرٹ کرے گا اور اگلی بار جب آپ ریبوٹ کریں گے تو ممکنہ طور پر خود بخود انسٹال ہو جائے گا، IoT ڈیوائسز ایسی سہولتیں پیش نہیں کرتی ہیں۔
اگرچہ صارفین کوئی بھی زیادہ سمجھدار نہیں ہیں، سائبر کرائمین شوڈن یا سنسیس جیسے سرچ انجن کے ذریعے اپنے کمزور آلات کو اسکین کر سکتے ہیں۔ اس مسئلے کو یقینی طور پر سستی کے ساتھ پیچیدہ کیا جا سکتا ہے، جیسا کہ بِشوف نے نوٹ کیا، “حقیقت یہ ہے کہ Hikvision کیمرے باکس سے باہر چند پہلے سے طے شدہ پاس ورڈز میں سے ایک کے ساتھ آتے ہیں، اور بہت سے صارفین ان ڈیفالٹ پاس ورڈز کو تبدیل نہیں کرتے ہیں۔”
کمزور سیکیورٹی، ناکافی مرئیت اور نگرانی کے درمیان، یہ واضح نہیں ہے کہ یہ دسیوں ہزار کیمرے کب محفوظ ہوں گے۔