image

Ip-camera Samsung vol beveiligingsproblemen

vrijdag 12 augustus 2016, 14:45 door Redactie, 4 reacties

Onderzoekers hebben in een ip-camera van de Zuid-Koreaanse elektronicafabrikant Samsung tal van beveiligingsproblemen gevonden waardoor een aanvaller in het ergste geval op afstand een apparaat volledig kan overnemen. Het gaat om de Samsung SNH-6410BN.

Het apparaat wordt als babycamera, binnencamera en beveiligingscamera gebruikt. "De beeldkwaliteit is redelijk, maar zoals de norm is met ip-camera's schiet de netwerkbeveiliging te kort", aldus het Britse beveiligingsbedrijf Pen Test Partners. Onderzoekers ontdekten in totaal 10 beveiligingsproblemen. Zo worden inloggegevens onversleuteld verstuurd, is er een webinterface aanwezig die niet in de documentatie wordt vermeld, moet er via deze webinterface een wachtwoord worden ingesteld en is het mogelijk om het ingestelde camerawachtwoord te resetten.

Verder is de firmware niet tegen reverse engineering beschermd, is root de enige gebruiker, heeft Samsung onbedoeld de testfunctionaliteit aan laten staan, wordt alle gebruikersinvoer geaccepteerd en draait het apparaat een onnodige ssh-service. De onderzoekers wisten door al deze problemen uiteindelijk volledige controle over het apparaat te krijgen. Ze waarschuwden Samsung. De fabrikant kwam uiteindelijk met een update die de webinterface en ssh uitschakelt. De overige problemen zijn nog niet verholpen.

Reacties (4)
12-08-2016, 15:32 door Anoniem
Komt volgens mij ook doordat er geen 'default' software is die fabrikanten hiervoor kunnen gebruiken. Er is geen Android, Windows of Linux distro die eenvoudig op elke webcam kan worden uitgerold. Hierdoor zal elke fabrikant - onder tijdsdruk - zijn eigen bouwsel meeleveren, welke zelden tot nooit goed zijn getest (vaak ook functioneel niet). Zeker nu IoT steeds meer gebruikt gaat worden is standarisatie een must.
12-08-2016, 17:10 door Anoniem
Samsung vind ik zo langzamerhand niet bij de veiligste en meest privacyrespecterende merken horen.
Veel smartphones worden al snel niet meer van updates voorzien, en ze vissen naar persoonlijke gegevens met alles wat op internet kan worden aangesloten.
Ook al het geregistreer (of wat was het ook alweer wat er pas in het nieuws is geweest) van hun laatste SSD produkten.
En nou dit weer. Het gaat niet om één lekje of zo. Voor mij liever geen Samsung met netwerkmogelijkheden meer.
14-08-2016, 10:46 door ph-cofi
Door Anoniem: Komt volgens mij ook doordat er geen 'default' software is die fabrikanten hiervoor kunnen gebruiken. Er is geen Android, Windows of Linux distro die eenvoudig op elke webcam kan worden uitgerold. (...)
Ik verwacht juist dat we wel een "default" is: busybox. Als consument kun je echter niet zien welke versie en weet je ook niet wat er allemaal is aangezet of uitgezet (SSH, Telnet). Je kunt het OS in het apparaat niet zelf controleren of vervangen. Daar zeggen wij hetzelfde, kon ik maar simpelweg de software die erop draait nakijken en updaten. De free software gedachte (as in "you control the software" versus "it controls you").

Volgens de regels is de fabrikant verantwoordelijk voor updates. En die kunnen de verleiding niet weerstaan om eigen toegang zeker te stellen. De fabrikant gooit er nog een webserver bij met wat zelfbedachte backdoorpagina's, even doorroeren en *hop* op de markt zetten. Vergeet niet op het doosje te zetten dat het cloud enabled is en met een iPhone app te besturen.
15-08-2016, 13:21 door Anoniem
Door ph-cofi: Als consument kun je echter niet zien welke versie en weet je ook niet wat er allemaal is aangezet of uitgezet (SSH, Telnet). Je kunt het OS in het apparaat niet zelf controleren of vervangen. Daar zeggen wij hetzelfde, kon ik maar simpelweg de software die erop draait nakijken en updaten. De free software gedachte (as in "you control the software" versus "it controls you").

Maar dat is natuurlijk het punt: een *consument* kan ook echt niet, nooit, beoordelen wat er goed of fout is aan een bepaalde versie of instelling.

En ook "it-specialisten" zoals de meeste mensen op dit forum zichzelf zullen zien, moeten voorzichtig zijn met wat ze feitelijk weten en wat vinden/voelen. Leuk, als je kan zien welke os-je er op je camera staat, maar dat zegt niks over de talloze keuzes die de leverancier gemaakt heeft/kan hebben bij de configuratie. En het is een fantasie om te denken dat de consument er dan zelf even een ander OS op zou kunnen zetten (en dat dat dan een door de leverancier ondersteund product oplevert).

Belangrijker is dat alle leveranciers worden gehouden aan veel hogere standaarden voor het maken en onderhouden van software. Maar dat is natuurlijk wel in conflict met de wens om snel en goedkoop te leveren...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.