image

Ernstige kwetsbaarheden in alarmsysteem Videofied

dinsdag 1 december 2015, 11:24 door Redactie, 1 reacties

Een onderzoeker heeft meerdere ernstige kwetsbaarheden in de alarmsystemen van het Franse RSI Videofied ontdekt, waardoor een aanvaller alarmmeldingen kan onderscheppen of vervalsen. De systemen van Videofied worden ook in Nederland aangeboden.

De alarmsystemen worden via een accu aangestuurd en versturen een video in het geval er een alarm afgaat. De data worden over GPRS of IP verstuurd. Het communicatieprotocol van Videofied bevat verschillende kwetsbaarheden. Zo wordt er een hardcoded cryptografische sleutel gebruikt, die op het serienummer van het apparaat is gebaseerd. Dit serienummer wordt echter onversleuteld verstuurd, waardoor een aanvaller die het serienummer kan onderscheppen vervolgens ook de cryptografische sleutel kan bepalen.

Ook worden berichten en video's onversleuteld verstuurd. Verder wordt de integriteit van bestanden onvoldoende beschermd. Daardoor kunnen berichten worden gespooft, bijvoorbeeld om valse alarmmeldingen af te geven of het alarm te deactiveren. De onderzoeker waarschuwde de fabrikant, maar kreeg geen reactie. Daarop waarschuwde hij het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit. Het CERT/CC wist de fabrikant wel succesvol te benaderen en inmiddels is er een update uitgebracht om de problemen te verhelpen.

"Het RSI Videofied-systeem heeft een beveiligingsniveau dat waardeloos is. Het lijkt erop dat ze een veelgebruikt algoritme hebben gebruikt, namelijk AES, maar er zo'n puinhoop van hebben gemaakt dat ze net zo goed platte tekst hadden kunnen gebruiken", aldus de conclusie van de onderzoeker.

Reacties (1)
01-12-2015, 12:47 door Anoniem
Insecurity through idiocy :p Zelfs met een veilig algoritme kan je zeer onveilig te werk gaan, net zoals je zelfs met een zwemnoedel iemand kan wurgen als je maar goed je best doet...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.