Verschillende bodycams waar de Amerikaanse politie gebruik van maakt bevatten kwetsbaarheden waardoor opgenomen beelden zijn te manipuleren en het mogelijk is om malware te verspreiden. Dat liet onderzoeker Josh Mitchell van securitybedrijf Nuix tijdens de DefCon-conferentie in Las Vegas zien.

Voor zijn onderzoek onderzocht Mitchell de bodycams van Vievu, Patrol Eyes, Fire Cam, Digital Ally en CeeSc. Op de camera van Digital Ally na is het bij alle camera's mogelijk om beeldmateriaal te downloaden, aan te passen en vervolgens weer naar de camera te uploaden, zonder dat dit zichtbaar is. Ook is het mogelijk om opgeslagen beeldmateriaal te verwijderen.

Verder blijken alle camera's niet de code te controleren die ze draaien en wordt ook de opgeslagen data niet gevalideerd. Ook maakt geen enkele camera gebruik van een cryptografische handtekening om de integriteit van firmware-updates te controleren. Hierdoor kan een aanvaller kwaadaardige firmware ontwikkelen en die op het systeem installeren, bijvoorbeeld via een gehackte desktop waarop de camera wordt aangesloten of een ander beveiligingslek.

Tevens ontbreekt een cryptografisch mechanisme om de legitimiteit van de opgenomen videobestanden te bevestigen. Zodra een camera met een cloudserver of een computer synchroniseert is er geen garantie dat het beeldmateriaal dat van de camera afkomstig is, intact is. Verder hebben vier van de vijf bodycams een wifi-radio die identificerende informatie uitzendt. Deze feature is bedoeld om agenten eenvoudig beeldmateriaal naar de computers in hun politieauto's te laten uploaden. Een aanvaller kan de feature echter gebruiken om via een langeafstandsantenne politieagenten volgen.

Niet alleen zijn agenten via een langeafstandsantenne te volgen. In het geval van de VieVu is het ook mogelijk om de beelden die de politieagent maakt in een livestream te veranderen, aldus Vice Magazine. Deze feature zou alleen voor politieagenten beschikbaar moeten zijn, maar Mitchell ontdekte dat het eenvoudig is om met de camera verbinding te maken en de opgenomen beelden te streamen.

Mitchell ontdekte dat het ook mogelijk is om op afstand toegang tot de opslag van de camera te krijgen. Zodoende kan een aanvaller malware of een exploit op het apparaat plaatsen die bij het synchroniseren met een computer worden overgebracht. De camera fungeert in dit geval als een springplank om het politienetwerk aan te vallen. Mitchell informeerde alle fabrikanten. Sommige hebben inmiddels updates uitgebracht, terwijl andere hier nog aan werken, zo meldt Wired.