Lekken in IP-camera onthuld na gebrekkige reactie leverancier
De beveiliging van IP-camera's is nog altijd een heikel punt, toch lijken niet alle leveranciers hiermee te zitten. Beveiligingsonderzoeker Craig Young van Tripwire onderzocht de Loftek Nexus 543 IP-camera. Een IP-camera die zowel WiFi als ethernet ondersteunt en met een prijs van 80 dollar positieve reacties op Amazon en eBay krijgt. Young ontdekte vier kwetsbaarheden waardoor een aanvaller wachtwoorden kan achterhalen om de camerabeelden te bekijken en de camera te besturen, alsmede de inloggegevens voor SMTP, FTP en DynDNS kan buitmaken. DynDNS is een gratis dienst waarmee internetgebruikers thuis servers eenvoudig via het internet toegankelijk kunnen maken. Op deze manier is het bijvoorbeeld mogelijk om op afstand de camerabeelden te bekijken.
Young ontdekte dat via path traversal opgeslagen wachtwoorden voor de camera, FTP-servers, mailservers en DynDNS zijn te achterhalen. De camerasoftware blijkt die daarnaast onversleuteld in platte tekst op te slaan. Verder is het mogelijk om via een ongeauthenticeerd GET request de inloggegevens van het WiFi-netwerk te stelen en het "echte" IP-adres van de camera te bekijken.
Als laatste biedt het apparaat geen bescherming tegen Cross Site Request Forgery (CRSF). Via een IMG-tag kan een aanvaller wachtwoorden en firewall-instellingen wijzigen.
Full disclosure
Young informeerde de fabrikant, die liet weten aan een oplossing te werken. Loftek adviseerde de onderzoeker om de camera niet via het internet toegankelijk te maken. Daarnaast was het product alleen voor thuisgebruikers bedoeld en niet geschikt voor "belangrijke omgevingen". Na tien weken besloot Young Loftek opnieuw te benaderen wanneer de lekken gepatcht zouden zijn.
Als antwoord kreeg de onderzoeker een e-mail waarin werd gesteld dat er een programma online was gezet om de camera DynDNS mee te verwijderen. Daarnaast kreeg Young opnieuw het advies om de camera niet aan het internet te hangen.
"Vanwege dit antwoord heb ik besloten dat het gepast is om het lek te openbaren", aldus de onderzoeker. Die adviseert gebruikers om de camera te "dumpen" en als dit geen optie is de camera op een geïsoleerd netwerk te plaatsen en een VPN of SSH-tunnel te gebruiken.
Het kan dus wel.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.