image

Lek in Google Dropcam laat aanvallers meekijken

dinsdag 15 juli 2014, 11:12 door Redactie, 3 reacties

Onderzoekers hebben lekken in de Dropcam van Google ontdekt waardoor aanvallers live kunnen meekijken, beelden kunnen injecteren of gebruikers in de ruimte via de microfoon kunnen afluisteren. Dropcam is een camera waarmee gebruikers hun woning en leefomgeving op afstand kunnen monitoren.

De camerafabrikant werd onlangs voor 555 miljoen dollar door Google overgenomen. Onderzoekers van Synack haalden de camera uit elkaar en reverse engineerden de hardware en ontdekten zo verschillende kwetsbaarheden in de wifi-camera, die ze volgende maand tijdens de Def Con conferentie in Las Vegas zullen presenteren. Het zou in ieder geval om de Heartbleed-kwetsbaarheid en andere software- en hardware-gerelateerde problemen in de apparatuur gaan.

Fysieke toegang

"Als iemand fysieke toegang heeft is het voorbij", aldus Patrick Wardle tegenover InformationWeek, één van de onderzoekers van Synack. "Mensen moeten weten dat deze apparaten door hackers of vijanden benaderd kunnen worden, en op dezelfde manier moeten worden beschermd zoals mensen hun laptops beschermen." Dropcam bleek een oudere versie van OpenSSL te draaien waar de Heartbleed-bug in aanwezig is.

Ook werd een verouderde en ongepatchte versie van BusyBox aangetroffen, een opensource Unix-toolkit die vaker door ingebedde apparaten wordt gebruikt. Via de Heartbleed-bug zou een aanvaller toegang tot wachtwoorden en andere gevoelige gegevens kunnen krijgen. De onderzoekers slaagden er ook in om de achterkant van de camera open te maken, waar een seriële poortaansluiting werd aangetroffen. Hiermee konden ze de camera "rooten".

Verder bleek dat het mogelijk was om via de USB-aansluiting kwaadaardige firmware op de camera te installeren. Als waarschuwen de onderzoekers dat een gemanipuleerde camera ook kan worden gebruikt om aangesloten computers te infecteren. Wardle adviseert dan ook om camera's van onbekenden niet te vertrouwen, aangezien die gebruikt kunnen worden voor het stelen van informatie of uitvoeren van andere aanvallen. Meer details over de lekken worden op 10 augustus, tijdens de 22ste editie van Def Con gegeven.

Reacties (3)
15-07-2014, 16:19 door vimes
Kijk, daarom is google niet te vertrouwen. Vanwege de Patriot Act is het zeer wel mogelijk dat dit lek op initiatief van de NSA nooit is gedicht.
15-07-2014, 16:27 door Anoniem
Alweer een reden om geen producten van Google te gebruiken.
16-07-2014, 03:00 door Anoniem
Door vimes: Kijk, daarom is google niet te vertrouwen.

"De camerafabrikant werd onlangs .... door Google overgenomen". Je kan natuurlijk Google voor alles de schuld geven maar dat is niet altijd terecht.

Welke hardware kun je wel echt vertrouwen? Een ouderwetse typemachine?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.