Kritiek lek maakt meekijken met miljoenen beveiligingscamera's mogelijk

[Captain Kirk]

Door een kritieke kwetsbaarheid in een softwareplatform waar verschillende camerafabrikanten gebruik van maken is het voor aanvallers mogelijk om met miljoenen beveiligingscamera's mee te kijken. De kwetsbaarheid is aanwezig in de P2P-software van het bedrijf ThroughTek.

ThroughTek biedt camerafabrikanten een P2P-oplossing waardoor hun gebruikers via een app met hun eigen beveiligingscamera kunnen meekijken. De app en beveiligingscamera staan via een P2P-server met elkaar in verbinding. De oplossing van ThroughTek wordt onder andere voor ip-camera's en babymonitors gebruikt.

Onderzoekers van Nozomi Networks ontdekten dat de data tussen de camera en de servers van ThroughTek niet goed is beveiligd. De P2P-software maakt voor het beveiligd versturen van data geen gebruik van een "secure key exchange", maar van obfuscatie op basis van een hardcoded key. Een aanvaller die toegang tot netwerkverkeer heeft kan zo in real-time met de videostream van de beveiligingscamera meekijken.

De ernst van de kwetsbaarheid, aangeduid als CVE-2021-32934, is op een schaal van 1 tot en met 10 met een 9,1 beoordeeld. ThroughTek werd in maart van dit jaar voor het lek gewaarschuwd. Op de eigen website meldt het bedrijf dat veel camerafabrikanten de P2P-software niet goed hebben geïmplementeerd of een verouderde versie van de software gebruiken. In nieuwere versies van de software is het probleem verholpen.

De onderzoekers stellen dat het voor eindgebruikers lastig is om de door hun camerafabrikant gebruikte P2P-provider te achterhalen of te bepalen of de gebruikte protocollen veilig zijn. Om ongewenste pottenkijkers te voorkomen adviseert Nozomi Networks dan ook om de P2P-functionaliteit in zijn geheel uit te schakelen.

 

bron: https://www.security.nl