Groot aantal ip-camera's via ernstige lekken te hacken

[Captain Kirk]

Onderzoekers hebben in verschillende ip-camera's ernstige beveiligingslekken ontdekt waardoor mogelijk honderdduizenden camera's kunnen worden gehackt. Volgens onderzoeker Amit Serper van beveiligingsbedrijf Cybereason had hij de kwetsbaarheden al twee jaar geleden ontdekt.

Samen met een collega kocht hij een ip-camera en binnen 6 uur hadden ze twee onbekende kwetsbaarheden gevonden waardoor een aanvaller op afstand de camera kan overnemen. Serper besloot destijds echter niks met zijn ontdekking te doen. Nu er zoveel aandacht voor de onveiligheid van Internet of Things-apparaten is heeft de onderzoeker zijn onderzoek afgestoft.

De kwetsbaarheden zijn nog altijd in de camera's aanwezig. Daarnaast heeft ook een andere onderzoeker ze inmiddels ontdekt. Het gaat om een kwetsbaarheid waarmee het mogelijk is om zonder authenticatie willekeurige bestanden van de webserver op de ip-camera op te vragen, waaronder het bestand dat het wachtwoord van de camera bevat. De tweede kwetsbaarheid maakt het mogelijk om commando's met rootrechten via de webserver uit te voeren.

Aangezien de camera's nog steeds worden verkocht en er honderdduizenden in omloop zijn willen de onderzoekers niet laten weten om welke fabrikanten het precies gaat. Veel van van de camera's worden onder andere namen verkocht. Een fabrikant wordt echter wel bij naam genoemd, namelijk VStarcam, ook bekend als Eye4. In tegenstelling tot de camera's van andere leveranciers beschikte VStarcam wel over een telefoonnummer en e-mailadres. De onderzoeker stuurde een e-mail over de kwetsbaarheden, maar kreeg nooit een reactie. De overige 30 camera's die Serper via Amazon en eBay kocht kwamen allemaal in een witte doos zonder naam of logo van de fabrikant.

"De enige manier om te garanderen dat een kwetsbare camera niet via deze exploits wordt gehackt is om het apparaat weg te gooien. Dit is geen ideale oplossing", stelt de onderzoeker. Hij heeft een script ontwikkeld dat kwetsbare camera's kan vinden en updaten. Serper wil dit script echter niet gebruiken, aangezien het de exploitcode bevat en aanvallers het script vervolgens voor kwaadaardige doeleinden kunnen gebruiken. Wel is er een tool ontwikkeld waarmee gebruikers kunnen zien of ze een kwetsbare ip-camera gebruiken.

 

 

bron: security.nl