یک محقق به نام Pierre Kim جزئیات چندین آسیب پذیری ناشناخته را که بر روی روترهای DIR-850L D-Link و سرویس های ابری mydlink تاثیر می گذارد، افشا کرده است.
این محقق گفته است بی توجهی آن ها به امنیت من را وادار کرد که نتایج تحقیقاتم را بدون افشای هماهنگ منتشر کنم
این متخصص در اواسط ماه ژوئن کشف کرد که هر دو نسخه A و B از سیستم عامل DIR-850L دارای حفاظت مناسبی نیستند. مورد اول اجازه می دهد تا مهاجم به راحتی تصویری از سیتم عامل را جعل کند. در حالی که مورد دوم با یک رمز عبور سخت افزاری محافظت می شود.
او همچنین چندین آسیب پذیری اسکریپت (XSS) را کشف کرد که با استفاده از آن میتوان کوکی های احراز هویت کاربرانی که لاگین شده اند را دزدید. یک هکر میتواند بسیار ساده، کوکیهای مرورگر کاربر را بدزدد. از آنجایی که در کوکیها اطلاعاتی نظیر شناساگر نشست ،(Session) مثلاً حساب کاربری فرد نوشته شده است، هکر میتواند با استفاده از این کوکیها و بدون وارد کردن حتی یک کاراکتر رمز، وارد حساب کاربر شود .هکرها همچنین می توانند از اختلالات مختلفی برای تغییر تنظیمات DNS روتر استفاده کنند .مثلا ترافیک زیادی را به یک سرور منتقل می کنند وبا فرستادن ترافیک وتقاضای زیاد، بعضی از سرویس ها مختل می شوند و یا از دسترس خارج می شوند و سپس از طریق کلاینت DHCP دستورات دلخواهی را به عنوان ریشه اجرا می کنند.آسیب پذیری هایی توسط این محقق در سرویس ابر mydlink پیدا شد که باعث می شد کاربران به سرویس dlink خود از همه جا با اینترنت دسترسی داشته باشند. این آسیب پذیری ها می توانند توسط هر هکر ناشناسی بکار گرفته شوند تا با دستگاه مورد حمله ،توسط اکانت خود تبادل داشته باشند.در نتیجه می توانند پسوورد دستگاه را که در بسیاری از موارد در یک متن واضح ذخیره یا مخابره می شود را بدست آورده و کنترل کامل روتر را بدست آورند. Pierre Kim معتقد است آسیب پذیری های مربوط به سرویس ابری نیز می تواند بر سایر محصولات D-Link، از جمله دستگاه های ذخیره سازی شبکه (NAS) و دوربین ها تاثیر بگذارد. این کارشناس اطلاعات دقیق فنی برای هر حفره امنیتی را انتشار کرده است.
به تازگی سه آسیب پذیری در مسیرهای DIR-850L یافت شده است که توسط Kim و دو محقق دیگر به عنوان بخشی از رقابت هک به نام Hack2Win، رفع شده است.این دانشمند محقق تصمیم گرفت که یافته های خود را بصورت عمومی منتشر کند بدون اینکه به dlink زمان لازم برای رفع آسیب پذیری ها توسط شرکت ها را بدهد تا بتوانند نسخه ی بی عیب را منتشر کنند.
