De beveiliging van IP-camera's is nog altijd een heikel punt, toch lijken niet alle leveranciers hiermee te zitten. Beveiligingsonderzoeker Craig Young van Tripwire onderzocht de Loftek Nexus 543 IP-camera. Een IP-camera die zowel WiFi als ethernet ondersteunt en met een prijs van 80 dollar positieve reacties op Amazon en eBay krijgt. Young ontdekte vier kwetsbaarheden waardoor een aanvaller wachtwoorden kan achterhalen om de camerabeelden te bekijken en de camera te besturen, alsmede de inloggegevens voor SMTP, FTP en DynDNS kan buitmaken. DynDNS is een gratis dienst waarmee internetgebruikers thuis servers eenvoudig via het internet toegankelijk kunnen maken. Op deze manier is het bijvoorbeeld mogelijk om op afstand de camerabeelden te bekijken.

Young ontdekte dat via path traversal opgeslagen wachtwoorden voor de camera, FTP-servers, mailservers en DynDNS zijn te achterhalen. De camerasoftware blijkt die daarnaast onversleuteld in platte tekst op te slaan. Verder is het mogelijk om via een ongeauthenticeerd GET request de inloggegevens van het WiFi-netwerk te stelen en het "echte" IP-adres van de camera te bekijken.

Als laatste biedt het apparaat geen bescherming tegen Cross Site Request Forgery (CRSF). Via een IMG-tag kan een aanvaller wachtwoorden en firewall-instellingen wijzigen.

Full disclosure

Young informeerde de fabrikant, die liet weten aan een oplossing te werken. Loftek adviseerde de onderzoeker om de camera niet via het internet toegankelijk te maken. Daarnaast was het product alleen voor thuisgebruikers bedoeld en niet geschikt voor "belangrijke omgevingen". Na tien weken besloot Young Loftek opnieuw te benaderen wanneer de lekken gepatcht zouden zijn.

Als antwoord kreeg de onderzoeker een e-mail waarin werd gesteld dat er een programma online was gezet om de camera DynDNS mee te verwijderen. Daarnaast kreeg Young opnieuw het advies om de camera niet aan het internet te hangen.

"Vanwege dit antwoord heb ik besloten dat het gepast is om het lek te openbaren", aldus de onderzoeker. Die adviseert gebruikers om de camera te "dumpen" en als dit geen optie is de camera op een geïsoleerd netwerk te plaatsen en een VPN of SSH-tunnel te gebruiken.