Digitale videorecorders (DVR) van verschillende fabrikanten die voor camerabewaking worden gebruikt zijn kwetsbaar doordat ze van een vast rootwachtwoord zijn voorzien. Een aanvaller die het wachtwoord weet kan zodoende op de systemen inloggen en volledige controle krijgen.

Daarvoor waarschuwt het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit. Een digitale videorecorder neemt de beelden op die via aangesloten bewakingscamera's worden gemaakt en laat deze op het scherm zien. In veel gevallen zijn deze systemen via een lokaal netwerk of zelfs het internet toegankelijk. In dit geval speelt het probleem bij de apparatuur van verschillende fabrikanten die firmware van Zhuhai RaySharp gebruiken.

Deze firmware beschikt over een vast rootwachtwoord. Daarnaast is het bij veel van deze apparaten standaard mogelijk om ze op afstand via telnet of poort 9000 te benaderen. Sommige fabrikanten zouden inmiddels firmware-updates hebben uitgebracht om het probleem van het vaste rootwachtwoord op te lossen. Het CERT/CC waarschuwt daarnaast extra voor de Swann SRNVW-470 netwerkvideorecorder. Naast het eerder genoemde beveiligingsprobleem is het ook mogelijk om de authenticatie te omzeilen. Zodoende kan een aanvaller die de juiste url weet de videobeelden van de aangesloten beveiligingscamera opvragen.

Meer problemen

De waarschuwingen van het CERT/CC staan niet op zichzelf. Vorige week lieten onderzoekers van het Britse PenTestPartners al verschillende beveiligingsproblemen met een DVR van fabrikant Mvpower zien. Zo blijkt de recorder standaard geen wachtwoord te gebruiken. Alleen de gebruikersnaam 'admin' is voldoende om in te loggen. Om het wachtwoord te veranderen moet de lokale interface van de DVR worden gebruikt, wat inhoudt dat die op een televisie moet worden aangesloten. Aangezien het apparaat niet van een toetsenbord is voorzien zullen veel van deze apparaten het "standaardwachtwoord" gebruiken, aldus onderzoeker Andrew Tierney.

Verder blijkt dat het apparaat geen https voor de communicatie gebruikt, maar wordt alles onversleuteld verstuurd. Ook zijn er geen firmware-updates beschikbaar of bescherming tegen brute force-aanvallen. Verder ontdekten de onderzoekers dat foto's van de videostream naar een vreemd 'hardcoded' e-mailadres worden doorgestuurd. Iets wat een schending van de privacy is, aldus Tierney. Hij waarschuwt als de DVR binnen een netwerk wordt gebruikt, aanvallers hier misbruik van kunnen maken om de rest van het interne netwerk aan te vallen.