Lek in populaire babycamera's laat vreemden meekijken
Onderzoekers hebben in zeven populaire babycamera's verschillende lekken ontdekt, waardoor in het ergste geval vreemden op afstand met de beelden kunnen meekijken of in het geval van lokale netwerktoegang de camera volledig kunnen overnemen. Dat meldt beveiligingsbedrijf Rapid7 vandaag.
De problemen zijn aanwezig in de iBaby M6, iBaby M3S, Philips In.Sight B120/37, Summer Baby Zoom Wifi Monitor & Internet Viewing System, Lens Peek-a-View, Gynoii en TRENDnet WiFi Baby Cam TV-IP743SIC. Vijf van de tien gevonden kwetsbaarheden betreffen "backdoor credentials". Het gaat in dit geval om vaste inloggegevens waardoor een aanvaller bijvoorbeeld via Telnet verbinding met de camera kan maken.
In het geval van de Philips blijkt dat de vaste inloggegevens het ook mogelijk maken om de ingebouwde webserver en het besturingssysteem te benaderen. Andere problemen die de onderzoekers in de babycamera's aantroffen maakten het mogelijk om eerder opgeslagen video's te bekijken, het meekijken met live videostreams, het inloggen op willekeurige camera-accounts zonder wachtwoord en het verkrijgen van beheerdersrechten door een normale gebruiker.
Update
Alle fabrikanten werden begin juli ingelicht, maar updates zijn in een aantal gevallen nog niet beschikbaar. Rapid7 verwijst consumenten meerdere keren naar de fabrikant om informatie over een eventuele firmware-update op te vragen, aangezien de onderzoekers hier niet over beschikken. In het geval van de Philips blijkt dat een andere fabrikant het model heeft overgenomen en vrijdag met een update komt.
Eigenaren van de iBaby M6 wordt aangeraden om de fabrikant over een update te benaderen of anders het apparaat niet te gebruiken. Voor andere camera's wordt geadviseerd die alleen vanaf het lokale netwerk toegankelijk te maken. Volgens de onderzoekers speelt het probleem niet alleen bij babycamera's, maar gaat het hier om een systematisch probleem van het Internet of Things waarbij onveilige producten aan het web worden gehangen.
In het verleden aandelen MS gekocht die na de W10 release het risico lopen in rook op te gaan? Jammer; met gokken kun je ook wel eens verliezen.
Verder erg zorgelijk dat ouders uit dommigheid hun kinderen al hun privacy afpakken voordat ze nog maar een woordje kunnen uitspreken. We liggen op bedrijven en overheden te zeiken dat onze privacy afgepakt wordt, maar dergelijk spul op je kinderen richten doet hier zeker niet voor onder.
De winkel ligt vol met apparaten die "calling home" doen, als ze de kans krijgen. Ongeacht het OS, blijkbaar is het TE aantrekkelijk voor de fabrikanten.
Dat is tevens mijn grootste ergernis met Linux/Unix omgevingen waar ik mee te maken heb. Het wordt te veel ingezet op "want het is gratis". Veel techneuten/nerds die in hun eigen OS wereld leven en er niet behoorlijk over kunnen communiceren. Ze zien geen belang tonen voor een goed veiligheid van de gevoelige gegevens (big-data analytics).
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
