image

Digitale pleister voor webcam massaal vergeten

dinsdag 16 april 2013, 14:17 door Redactie, 6 reacties

Inmiddels zijn er steeds meer mensen die vanwege beveiliging en privacy hun webcam afplakken, maar als het gaat om de installatie van een digitale pleister blijken gebruikers het massaal te laten afweten. Vorige week tijdens de Hack in the Box conferentie in Amsterdam lieten twee onderzoekers zien dat duizenden IP-camera's onnodig openstaan.

Sergey Shekyan en Artem Harutyunyan van beveiligingsbedrijf Qualys gaven een presentatie over een populaire IP-camera waar verschillende kwetsbaarheden in werden ontdekt. Het gaat om de Foscam Indoor Wireless IP Camera. Een goedkope camera van Chinese makelij, waarvan de hardware en software ook in de IP-camera's van allerlei andere merken worden gebruikt.

Aanbieding
Het onderzoek naar de IP-camera's begon met een kerstaanbieding. Voor minder dan 70 dollar werden de apparaten aangeboden, die naast het weergeven van beelden ook e-mails kunnen versturen en gegevens naar FTP-servers kunnen uploaden. De camera bevat namelijk een ingebedde webserver die voor het internet toegankelijk is. "Toen begonnen we met de camera te spelen en vonden wel veel problemen."

De twee onderzoekers ontdekten dat het zeer eenvoudig is om via het internet toegang tot de camera's te krijgen. Het is mogelijk om zonder wachtwoord in te loggen, of het gebruikte wachtwoord te achterhalen. Daarbij is het ook mogelijk voor kwaadwillenden om software op de camera te installeren, zonder dat dit ten koste van de functionaliteit van de camera gaat.

De eigenaar van deze apparaten zouden in dit geval niets door hebben. Tijdens hun demonstratie lieten Shekyan en Harutyunyan zien hoe ze een proxy-server op de camera installeerden. "De proxy fungeert als proxy-server voor de aanvaller, maar fungeert als camera voor de eigenaar."

Geheugendump
Via de zoekmachine Shodan en een functionaliteit van de camera's zelf wisten de onderzoekers tussen de 100.000 en 140.000 kwetsbare camera's te vinden. De camera's registreren automatisch een hostname waardoor gebruikers die eenvoudig kunnen benaderen. Hierdoor konden de onderzoekers allerlei kwetsbare camera's achterhalen.

Standaard staat er geen wachtwoord op de camera's ingesteld. En zelfs als dit wel is gedaan blijkt dit onvoldoende om pottenkijkers buiten te houden. Een lek in de software maakt het mogelijk om op afstand het geheugen van de camera te 'dumpen', waarin ook de inloggegevens staan.

Het opgeven van een bepaalde link is in dit geval voldoende. Daarnaast gaat het niet alleen om het wachtwoord van de camera, maar ook FTP- en e-mail inloggegevens die de gebruiker heeft ingevuld.

Populair
De camera's werden op allerlei locaties aangetroffen, van kinderkamers tot garages. Eén van de camera's was zelfs door een bedrijf opgehangen om het personeel in de gaten te houden. De eigenaar van het bedrijf was echter niet de enige die kon meekijken.

"En de camera is zeer populair. Je kunt veel Chinese klonen vinden. Foscam is ook een Chinees bedrijf, maar er zijn dus klonen van het Chinese bedrijf door andere Chinese bedrijven." Er werden minimaal vijf leveranciers gevonden die de camera's aanbieden. Ook in Nederland troffen de onderzoekers de camera aan.

Het onderzoek was volgens de twee onderzoekers niet lastig en zou eenvoudig door anderen te herhalen zijn. "Ik zou zeggen dat het verrassend eenvoudig was", zegt Shekyan. "Voor iets dat als een beveiligingsapparaat wordt aangeboden is het belachelijk eenvoudig."

Update
De fabrikant van de webcams werd ingelicht en stuurde de onderzoekers een e-mail dat ze binnenkort benaderd zouden worden, maar het bleef vervolgens stil. Volgens de onderzoekers reageren de fabrikanten van dit soort apparatuur vaak slecht op meldingen over veiligheidsproblemen.

Toch is er twee weken geleden nieuwe firmware verschenen waarin het niet meer mogelijk is om de inhoud van de camera te dumpen en zo wachtwoorden te achterhalen. Er werd echter geen enkele camera op internet gevonden die over deze nieuwe firmware beschikt en daardoor beschermd is.

Het is namelijk niet mogelijk om de software automatisch te updaten en veel eigenaren hebben geen idee dat er nieuwe firmware beschikbaar is of dat er kwetsbaarheden in de camera aanwezig zijn.

Net als met software is het ook belangrijk dat gebruikers niet vergeten hun apparatuur te updaten, zeker als die aan het internet hangt. "Het is niet zo moeilijk, je hoeft alleen een bestand downloaden en dat vervolgens te uploaden via de interface. Twee keer klikken is voldoende", besluit Shekyan.

Reacties (6)
16-04-2013, 15:01 door Anoniem
Hmmz, iemand een tip hoe ik kan controleren of de webcam op mijn laptop wel of niet gebruikt wordt? Wil hem namelijk niet meteen onklaar maken met een pleister o.i.d., maar eventueel ongewenst gebruik (buiten mijn weten om) door o.a. malware is naltuurlijk niet fijn.
16-04-2013, 16:05 door Anoniem
Nou wil ik niet zeuren, maar een IP cam is heeeel wat anders dan een webcam. De laatste zit vaak in een laptop of wordt via USB aangesloten op een pc. Doel van de webcam is videochat of ander ranzige bezigheden.

De IP cam is min of meer een pc op zichzelf. Heeft een complete IP stack en werkt zonder PC of laptop, rechtstreeks op het netwerk. Wordt vaak gebruikt om mensen te laten zien wat voor weer het is, wie er in je achtertuin loopt of als bewakingscamera.

Een webcam afplakken is een goed idee omdat de webcam vaak direct de gebruiker van de machine in beeld brengt. En dat kan ook je dochter zijn. Een IP cam afplakken neemt volledig het nut van het apparaat weg. Een IP cam afschermen is wel een goed idee, tenzij je gewoon het beeld wil delen of openstellen voor iedereen. Dan overigens wel even netjes het admin gedeeltje beveiligen...
16-04-2013, 19:58 door Anoniem
De webcam uitschakelen via apparaatbeheer is ook voldoende?
16-04-2013, 23:15 door yobi
Wat doen we met de microfoons, die overal inzitten?
22-04-2013, 04:26 door Quovadis
Bij sommige reparatiediensten kan je je webcam en microfoon module laten verwijderen uit je laptop voor ongeveer €45,-- niet veel als je een beetje op je privacy gesteld bent.
Maar wel absurd dat je tegenwoordig geen vrije keuze meer hebt of je nu wel of geen webcam met microfoon in je laptop wilt hebben.
De module eruit laten halen en dan opsturen naar de fabrikant met het verzoek of zij de verwijdering willen betalen, maakt geen indruk natuurlijk als maar 1 iemand het doet maar als iedereen dat nu doet die zijn ingebouwde webcam met microfoon spuugzat is dan wie weet gaat er een lampje branden bij de autistische laptop bouwers.

Toch altijd opvalland is dat laptop fabrikanten zich betreft dit onderwerp zeer angstvallig stilhouden je zou toch sterk de indruk krijgen dat ze iets te verbergen hebben.

Of is het ook een vorm van arrogantie om niet naar de klant te luisteren.

Ook vreemd dat zelfs de consumentenbond hier geen onderwerp van maakt als punt van kritiek naar laptop producenten toe, waarschijnlijk zijn ze bang voor hun broodheren.
28-05-2013, 12:19 door Patio
Ik had een knop in mijn dock met een cameraatje erop die ik nooit gebruik. Heb 'm er nu uitgehaald waarmee de kans dat ik 'm per ongeluk inschakel tot vrijwel nul gereduceerd is. Het geluid is ook met 1 druk op een tortsenbordknop uit te schakelen wat meestal het geval is om mijn vrouw niet te storen bij het luisteren naar de tv en dergelijke.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.