image

Wachtwoordlek in Webviewer Samsung DVR

donderdag 22 augustus 2013, 17:09 door Redactie, 0 reacties

Twee kwetsbaarheden in de software van Samsung maken het mogelijk dat willekeurige internetgebruikers op een Samsung DVR kunnen inloggen. Een Samsung DVR is een opnamesysteem dat wordt gebruikt voor het opslaan van camerabeelden op een harde schijf.

Via de Webviewer software kunnen gebruikers op afstand op het systeem inloggen om bijvoorbeeld beelden te bekijken of instellingen te wijzigen. De apparaten worden onder andere als onderdeel van bewakingssystemen gebruikt. Onderzoekers hebben ontdekt dat de Webviewer de inloggegevens van gebruikers in platte tekst bewaart.

Wachtwoord

Daarnaast is er een probleem in de manier waarop de software met cookies omgaat. Door een speciaal geprepareerd cookie met een kwaadaardig SessionID naar de webserver te sturen, kan een aanvaller de authenticatie omzeilen en toegang tot interne pagina's krijgen, zoals de camera- en accountinstellingen. Uiteindelijk zou het mogelijk zijn om het beheerderswachtwoord te achterhalen.

Aangezien er nog geen praktische oplossing voor de problemen zijn, adviseert het CERT Coordination Center (CERT-CC) van de Carnegie Mellon Universiteit om de toegang tot de Samsung DVR Webviewer alleen tot betrouwbare netwerken te beperken.

Nog geen reacties
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.