Onderzoekers hebben in zeven populaire babycamera's verschillende lekken ontdekt, waardoor in het ergste geval vreemden op afstand met de beelden kunnen meekijken of in het geval van lokale netwerktoegang de camera volledig kunnen overnemen. Dat meldt beveiligingsbedrijf Rapid7 vandaag.

De problemen zijn aanwezig in de iBaby M6, iBaby M3S, Philips In.Sight B120/37, Summer Baby Zoom Wifi Monitor & Internet Viewing System, Lens Peek-a-View, Gynoii en TRENDnet WiFi Baby Cam TV-IP743SIC. Vijf van de tien gevonden kwetsbaarheden betreffen "backdoor credentials". Het gaat in dit geval om vaste inloggegevens waardoor een aanvaller bijvoorbeeld via Telnet verbinding met de camera kan maken.

In het geval van de Philips blijkt dat de vaste inloggegevens het ook mogelijk maken om de ingebouwde webserver en het besturingssysteem te benaderen. Andere problemen die de onderzoekers in de babycamera's aantroffen maakten het mogelijk om eerder opgeslagen video's te bekijken, het meekijken met live videostreams, het inloggen op willekeurige camera-accounts zonder wachtwoord en het verkrijgen van beheerdersrechten door een normale gebruiker.

Update

Alle fabrikanten werden begin juli ingelicht, maar updates zijn in een aantal gevallen nog niet beschikbaar. Rapid7 verwijst consumenten meerdere keren naar de fabrikant om informatie over een eventuele firmware-update op te vragen, aangezien de onderzoekers hier niet over beschikken. In het geval van de Philips blijkt dat een andere fabrikant het model heeft overgenomen en vrijdag met een update komt.

Eigenaren van de iBaby M6 wordt aangeraden om de fabrikant over een update te benaderen of anders het apparaat niet te gebruiken. Voor andere camera's wordt geadviseerd die alleen vanaf het lokale netwerk toegankelijk te maken. Volgens de onderzoekers speelt het probleem niet alleen bij babycamera's, maar gaat het hier om een systematisch probleem van het Internet of Things waarbij onveilige producten aan het web worden gehangen.