Een populaire IP-camera bij Apple-gebruikers blijkt vol beveiligingslekken te zitten, zoals een ongedocumenteerde gebruikersnaam en wachtwoord en onversleutelde communicatie en videostreaming, waardoor een aanvaller met de camera kan meekijken.

De IZON is een op Linux-gebaseerde IP-camera die met iOS compatibel is en in allerlei Apple Stores wordt verkocht. Beveiligingsonderzoeker Mark Stanislav ontdekte de problemen met de IP-camera toen hij een nmap-scan van zijn thuisnetwerk uitvoerde, om een eerder geïnstalleerde Raspberry Pi te vinden. "Ik zag dit apparaat op het netwerk met Telnet-poort 23 open en een aantal andere vreemde poorten", laat Stanislav tegenover de Security Legder weten.

Het bleek uiteindelijk de IZON-camera in zijn woonkamer te zijn. Doordat er geen veilige poortconfiguratie wordt gebruikt kunnen IZON-camera's die niet achter een router zitten direct via het internet worden benaderd. De onderzoeker ontdekte via de SHODAN-zoekmachine 65 van dit soort apparaten die in verschillende landen stonden.

Wachtwoord

Stanislav onderzocht ook de IZON mobiele applicatie en ontdekte dat die over 'hardcoded' inloggegevens beschikt. Met deze inloggegevens kan een aanvaller op een IZON-camera inloggen en de configuratie van het apparaat aanpassen, kwaadaardige code uploaden of de camera uitschakelen. Ook geeft de camera de lengte- en breedtegraden prijs, waardoor de locatie te achterhalen valt.

Een ander probleem werd gevonden in de functie waarmee er waarschuwingen gegeven kunnen worden en gedeelte van filmpjes in de cloud worden bewaard, zodat gebruikers die daar kunnen bekijken. Alle video's die als onderdeel van een waarschuwing waren gemaakt werden bij elkaar opgeslagen en waren via HTTP en zonder enige vorm van authenticatie toegankelijk.

Het enige dat vereist was om de video's te bekijken was de juiste URL en een MD5-hash van het filmpje in kwestie. De fabrikant laat weten dat de IZON-firmware, het serversysteem en iOS-apps inmiddels van nieuwe versies zijn voorzien.