Lekken in IP-camera onthuld na gebrekkige reactie leverancier
De beveiliging van IP-camera's is nog altijd een heikel punt, toch lijken niet alle leveranciers hiermee te zitten. Beveiligingsonderzoeker Craig Young van Tripwire onderzocht de Loftek Nexus 543 IP-camera. Een IP-camera die zowel WiFi als ethernet ondersteunt en met een prijs van 80 dollar positieve reacties op Amazon en eBay krijgt. Young ontdekte vier kwetsbaarheden waardoor een aanvaller wachtwoorden kan achterhalen om de camerabeelden te bekijken en de camera te besturen, alsmede de inloggegevens voor SMTP, FTP en DynDNS kan buitmaken. DynDNS is een gratis dienst waarmee internetgebruikers thuis servers eenvoudig via het internet toegankelijk kunnen maken. Op deze manier is het bijvoorbeeld mogelijk om op afstand de camerabeelden te bekijken.
Young ontdekte dat via path traversal opgeslagen wachtwoorden voor de camera, FTP-servers, mailservers en DynDNS zijn te achterhalen. De camerasoftware blijkt die daarnaast onversleuteld in platte tekst op te slaan. Verder is het mogelijk om via een ongeauthenticeerd GET request de inloggegevens van het WiFi-netwerk te stelen en het "echte" IP-adres van de camera te bekijken.
Als laatste biedt het apparaat geen bescherming tegen Cross Site Request Forgery (CRSF). Via een IMG-tag kan een aanvaller wachtwoorden en firewall-instellingen wijzigen.
Full disclosure
Young informeerde de fabrikant, die liet weten aan een oplossing te werken. Loftek adviseerde de onderzoeker om de camera niet via het internet toegankelijk te maken. Daarnaast was het product alleen voor thuisgebruikers bedoeld en niet geschikt voor "belangrijke omgevingen". Na tien weken besloot Young Loftek opnieuw te benaderen wanneer de lekken gepatcht zouden zijn.
Als antwoord kreeg de onderzoeker een e-mail waarin werd gesteld dat er een programma online was gezet om de camera DynDNS mee te verwijderen. Daarnaast kreeg Young opnieuw het advies om de camera niet aan het internet te hangen.
"Vanwege dit antwoord heb ik besloten dat het gepast is om het lek te openbaren", aldus de onderzoeker. Die adviseert gebruikers om de camera te "dumpen" en als dit geen optie is de camera op een geïsoleerd netwerk te plaatsen en een VPN of SSH-tunnel te gebruiken.
Het kan dus wel.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
