Outro problema sério encontrado na câmara está oculto no plug-in para os browsers que se chama “myDlink services”. É através dele que é possível ver no browser o que a câmara está a filmar. Também existem formas de se ver estes conteúdos nas aplicações móveis.
O plug-in trata da criação do túnel TCP e da reprodução de vídeo em direto no browser do cliente. Contudo, também é responsável pelo encaminhamento de solicitações para a obtenção de áudio e vídeo através de um túnel, que está “à escuta” numa porta gerada dinamicamente no host local.
“A vulnerabilidade do plug-in pode ter tido consequências terríveis para a segurança da câmara, já que possibilitou que os invasores substituíssem o firmware legítimo por uma versão manipulada”, afirma Fránik.
A ESET reportou todas as vulnerabilidades ao fabricante. Algumas delas – principalmente no plug-in myDlink – já foram mitigadas e corrigidas por atualização. No entanto, os problemas com a transmissão não encriptada de vídeo persistem.