image

Lek in populaire babycamera's laat vreemden meekijken

woensdag 2 september 2015, 16:46 door Redactie, 6 reacties

Onderzoekers hebben in zeven populaire babycamera's verschillende lekken ontdekt, waardoor in het ergste geval vreemden op afstand met de beelden kunnen meekijken of in het geval van lokale netwerktoegang de camera volledig kunnen overnemen. Dat meldt beveiligingsbedrijf Rapid7 vandaag.

De problemen zijn aanwezig in de iBaby M6, iBaby M3S, Philips In.Sight B120/37, Summer Baby Zoom Wifi Monitor & Internet Viewing System, Lens Peek-a-View, Gynoii en TRENDnet WiFi Baby Cam TV-IP743SIC. Vijf van de tien gevonden kwetsbaarheden betreffen "backdoor credentials". Het gaat in dit geval om vaste inloggegevens waardoor een aanvaller bijvoorbeeld via Telnet verbinding met de camera kan maken.

In het geval van de Philips blijkt dat de vaste inloggegevens het ook mogelijk maken om de ingebouwde webserver en het besturingssysteem te benaderen. Andere problemen die de onderzoekers in de babycamera's aantroffen maakten het mogelijk om eerder opgeslagen video's te bekijken, het meekijken met live videostreams, het inloggen op willekeurige camera-accounts zonder wachtwoord en het verkrijgen van beheerdersrechten door een normale gebruiker.

Update

Alle fabrikanten werden begin juli ingelicht, maar updates zijn in een aantal gevallen nog niet beschikbaar. Rapid7 verwijst consumenten meerdere keren naar de fabrikant om informatie over een eventuele firmware-update op te vragen, aangezien de onderzoekers hier niet over beschikken. In het geval van de Philips blijkt dat een andere fabrikant het model heeft overgenomen en vrijdag met een update komt.

Eigenaren van de iBaby M6 wordt aangeraden om de fabrikant over een update te benaderen of anders het apparaat niet te gebruiken. Voor andere camera's wordt geadviseerd die alleen vanaf het lokale netwerk toegankelijk te maken. Volgens de onderzoekers speelt het probleem niet alleen bij babycamera's, maar gaat het hier om een systematisch probleem van het Internet of Things waarbij onveilige producten aan het web worden gehangen.

Reacties (6)
02-09-2015, 18:14 door Anoniem
Verrassend! Beveiliging is (blijft) nog steeds een ondergeschoven kindje bij IoT. Het is wachten op ongelukken/inbraken/......
02-09-2015, 18:30 door Anoniem
Tegenwoordig ben je nog maar net op de wereld en meteen al wordt je privacy geschonden; camera's op je gericht, gedetailleerde biografie op internet (Facebook), enz. Blij dat ik niet in deze tijd geboren ben. Vroeger deed men het allemaal zonder.
02-09-2015, 20:45 door karma4
Kan het niet laten met alle Fud: "Het zijn allenaal W10 cameras: ... Vreemd er zit er geen enkele MS tussen, alleen maar .....
02-09-2015, 21:41 door Anoniem
Door karma4: Kan het niet laten met alle Fud: "Het zijn allenaal W10 cameras: ... Vreemd er zit er geen enkele MS tussen, alleen maar .....

In het verleden aandelen MS gekocht die na de W10 release het risico lopen in rook op te gaan? Jammer; met gokken kun je ook wel eens verliezen.

Verder erg zorgelijk dat ouders uit dommigheid hun kinderen al hun privacy afpakken voordat ze nog maar een woordje kunnen uitspreken. We liggen op bedrijven en overheden te zeiken dat onze privacy afgepakt wordt, maar dergelijk spul op je kinderen richten doet hier zeker niet voor onder.
02-09-2015, 22:35 door ph-cofi
@karma4 Al die Linux embedded apparaten, waarbij de fabrikant het root ww voor zichzelf houdt, of een heleboel usernames ingesteld heeft, of handige services aan heeft staan, het is een grote schande. Het zou Linux bijna een slechte naam geven ;)

De winkel ligt vol met apparaten die "calling home" doen, als ze de kans krijgen. Ongeacht het OS, blijkbaar is het TE aantrekkelijk voor de fabrikanten.
03-09-2015, 06:51 door karma4
Door ph-cofi: De winkel ligt vol met apparaten die "calling home" doen, als ze de kans krijgen. Ongeacht het OS, blijkbaar is het TE aantrekkelijk voor de fabrikanten.
Loop de CVE's door en je ziet een patroon dat het zo goedkoop mogelijk moet. Kwaliteit / veiligheid is niet relevant als er maar wat leuks als presentatie gegeven kan worden. Dat gaat over de hele linie van klein thuisgebruik tot omvangrijlk professioneel.

Dat is tevens mijn grootste ergernis met Linux/Unix omgevingen waar ik mee te maken heb. Het wordt te veel ingezet op "want het is gratis". Veel techneuten/nerds die in hun eigen OS wereld leven en er niet behoorlijk over kunnen communiceren. Ze zien geen belang tonen voor een goed veiligheid van de gevoelige gegevens (big-data analytics).
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.