Lek in Google Dropcam laat aanvallers meekijken
Onderzoekers hebben lekken in de Dropcam van Google ontdekt waardoor aanvallers live kunnen meekijken, beelden kunnen injecteren of gebruikers in de ruimte via de microfoon kunnen afluisteren. Dropcam is een camera waarmee gebruikers hun woning en leefomgeving op afstand kunnen monitoren.
De camerafabrikant werd onlangs voor 555 miljoen dollar door Google overgenomen. Onderzoekers van Synack haalden de camera uit elkaar en reverse engineerden de hardware en ontdekten zo verschillende kwetsbaarheden in de wifi-camera, die ze volgende maand tijdens de Def Con conferentie in Las Vegas zullen presenteren. Het zou in ieder geval om de Heartbleed-kwetsbaarheid en andere software- en hardware-gerelateerde problemen in de apparatuur gaan.
Fysieke toegang
"Als iemand fysieke toegang heeft is het voorbij", aldus Patrick Wardle tegenover InformationWeek, één van de onderzoekers van Synack. "Mensen moeten weten dat deze apparaten door hackers of vijanden benaderd kunnen worden, en op dezelfde manier moeten worden beschermd zoals mensen hun laptops beschermen." Dropcam bleek een oudere versie van OpenSSL te draaien waar de Heartbleed-bug in aanwezig is.
Ook werd een verouderde en ongepatchte versie van BusyBox aangetroffen, een opensource Unix-toolkit die vaker door ingebedde apparaten wordt gebruikt. Via de Heartbleed-bug zou een aanvaller toegang tot wachtwoorden en andere gevoelige gegevens kunnen krijgen. De onderzoekers slaagden er ook in om de achterkant van de camera open te maken, waar een seriële poortaansluiting werd aangetroffen. Hiermee konden ze de camera "rooten".
Verder bleek dat het mogelijk was om via de USB-aansluiting kwaadaardige firmware op de camera te installeren. Als waarschuwen de onderzoekers dat een gemanipuleerde camera ook kan worden gebruikt om aangesloten computers te infecteren. Wardle adviseert dan ook om camera's van onbekenden niet te vertrouwen, aangezien die gebruikt kunnen worden voor het stelen van informatie of uitvoeren van andere aanvallen. Meer details over de lekken worden op 10 augustus, tijdens de 22ste editie van Def Con gegeven.
"De camerafabrikant werd onlangs .... door Google overgenomen". Je kan natuurlijk Google voor alles de schuld geven maar dat is niet altijd terecht.
Welke hardware kun je wel echt vertrouwen? Een ouderwetse typemachine?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.