Lek in D-Link-camera laat aanvaller met beelden meekijken

[Captain Kirk]

Een beveiligingslek in de DCS-2132L-cloudcamera van fabrikant D-Link maakt het mogelijk voor aanvallers om met beelden van gebruikers mee te kijken. Tevens blijkt dat de camera zonder toestemming van gebruikers de http-interface toegankelijk voor het internet maakt. Dat meldt antivirusbedrijf ESET.

Beelden van de camera worden naar de cloud gestuurd, waar ze vervolgens via een app zijn te bekijken. Zowel de audio- en videostreams die tussen de camera en de cloud worden verstuurd als de streams van de cloud naar de app zijn onversleuteld. Een aanvaller die zich tussen de gebruiker of camera en het internet bevindt kan zo het dataverkeer onderscheppen en bekijken.

Verder ontdekten de onderzoekers dat kwetsbaarheden in het D-Link tunnelingprotocol het mogelijk maken voor een aanvaller om malafide firmware te installeren. De authenticiteit van de aangeboden firmware wordt namelijk niet tijdens het updateproces gecontroleerd.

UPnP

Een ander probleem met de camera is dat die via UPnP de http-interface op poort 80 voor heel het internet toegankelijk maakt. Dit kan zonder toestemming van de gebruiker gebeuren en zelfs wanneer de opties "Enable UPnP presentation" of "Enable UPnP port forwarding" staan uitgeschakeld. "Waarom de camera een dergelijke gevaarlijke instelling gebruikt is onduidelijk", aldus de onderzoekers.

Via de Shodan-zoekmachine werden zo'n 1600 DCS-2132L-camera's gevonden waarvan de http-interface via internet toegankelijk is. Gebruikers van een dergelijke router krijgen het advies om UPnP op de router uit te schakelen. ESET waarschuwde D-Link op 22 augustus vorig jaar, maar de hierboven beschreven problemen zijn nog altijd aanwezig. De DCS-2132L werd ook door allerlei winkels in Nederland verkocht.

 

 

bron: security.nl