Guardzilla IoT-camera lekt beelden door hardcoded wachtwoord
Een Internet of Things-camera van fabrikant Guardzilla maakt gebruik van een hardcoded wachtwoord waardoor een aanvaller toegang kan krijgen tot beelden van gebruikers die de camera in de cloud opslaat. Het gaat om het cameramodel GZ521W, maar mogelijk zijn ook andere modellen kwetsbaar.
Het videobeveiligingssysteem van Guardzilla wordt aangeboden als een oplossing om woningen mee te monitoren. Gebruikers kunnen beelden live via een smartphone-app bekijken. Daarnaast worden beelden die de bewegingsmelder maakt naar de cloud geupload. Het gaat in dit geval om de cloud van Amazon.
Tijdens een recent hackerevenement analyseerden onderzoekers van 0DayAllDay de firmware van de camera en ontdekten daarin een hardcoded wachtwoord. Met dit wachtwoord is het mogelijk om toegang te krijgen tot alle beelden die door de camera in de cloud zijn opgeslagen. Guardzilla werd op 24 oktober ingelicht, alsmede het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit en securitybedrijf Rapid7.
Deze twee organisaties stuurden ook een waarschuwing naar de camerafabrikant, maar kregen geen reactie. Aangezien Guardzilla meer dan 60 dagen de tijd heeft gekregen om te reageren hebben de onderzoekers en Rapid7 besloten om de details openbaar te maken. Gebruikers van een Guardzilla IoT-camera krijgen het advies om de cloudopslag voor hun apparaat uit te schakelen.
zucht.....
Dat IoT is echt een groot gevaar omdat er zoveel apparaten zijn en het aan internet hangt. De botnets die daarmee gemaakt kunnen worden zijn veel te groot en krachtig. Fabrikanten moeten gewoon gedwongen worden om de basale configuratie goed te doen. En update functionaliteit in te bouwen zodat bij eventuele problemen er een update kan worden gedaan om die op te lossen.
Dat IoT is echt een groot gevaar omdat er zoveel apparaten zijn en het aan internet hangt. De botnets die daarmee gemaakt kunnen worden zijn veel te groot en krachtig. Fabrikanten moeten gewoon gedwongen worden om de basale configuratie goed te doen. En update functionaliteit in te bouwen zodat bij eventuele problemen er een update kan worden gedaan om die op te lossen.
Hardcoded password of hard gecodeerd wachtwoord (red.) is altijd fout, IOT dingen moeten bij een eerste setup een veilig wachtwoord afdwingen. Router fabrikanten moeten insspringen op beveiliging voor de mindere IT goden onder ons door b.v. een apart IOT "guestnet" aan te bieden met een volledige netwerk isolatie van de rest van het thuisnetwerk.
Hardcoded password of hard gecodeerd wachtwoord (red.) is altijd fout, IOT dingen moeten bij een eerste setup een veilig wachtwoord afdwingen. Router fabrikanten moeten insspringen op beveiliging voor de mindere IT goden onder ons door b.v. een apart IOT "guestnet" aan te bieden met een volledige netwerk isolatie van de rest van het thuisnetwerk.
Dat vermindert het risico op besmetting van andere apparaten op het thuisnetwerk. Maar het gebruik van de gecompromitteerde IoT-apparatuur in een botnet blijft mogelijk.
Ik vraag me af of een "state of the art router" met 100% beveiliging hier ook maar iets geholpen zou hebben. Als ik het verhaal goed begrijp, geeft dat hardcoded wachtwoord toegang tot de extern opgeslagen bestanden. Daar kan een router dan niets meer aan doen.
Hardgecodeerde onveiligheid blijft hardgecodeerde onveiligheid.
Leest u goed? 40 jaar geleden.
Het is nu op een haar na 2019 en het is gezien dit nieuws weer overduidelijk dat sommige fabrikanten door de bank genomen uiterst mager verantwoordelijksheidsgevoel in hun producten investeren, behalve als er controlerende druk van boven (overheid) op hun productieproces wordt uitgeoefend.
Dit is dan wel een Amerikaans product maar omdat het apparaat geen bedreiging kent voor de fysieke veiligheid (riscio op verwondingen) waar in de US wèl nogal strenge normen voor worden aangelegd, ligt de focus waarschijnlijk weinig op digitale veiligheidsaspecten. Oorzaak: Ik heb de indruk dat dit niet of (nog) onvoldoende leeft.
De vrije marktwerking van multi-nationale ondernemingen nu wereldwijd uitgesmeerd brengt eerder verdere nonchalance tot aan minachting toe voor de doelgroep: koper/consument/eindgebruiker en het zal mij niets verbazen dat in de naaste toekomst ook de handhaving van veiligheidsnormen die ervoor zorgen dat gebruiksartikelen veilig om te gebruiken zijn - dus anders dan digitale veiligheid - ook zal verslonzen. Ik heb geen rooskleuring beeld van deze materie.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.