image

Groot aantal lekken in ip-camera's Loftek en VStarcam

donderdag 3 augustus 2017, 14:55 door Redactie, 1 reacties

Onderzoekers hebben in ip-camera's van fabrikanten Loftek en VStarcam een groot aantal lekken ontdekt waardoor aanvallers de apparaten op afstand kunnen overnemen en een update is niet beschikbaar. De problemen zijn mogelijk ook in de ip-camera's van andere fabrikanten aanwezig.

In het geval van de eerder twee genoemde fabrikanten gaat het om de Loftek CXS 2200 en VStarcam C7837WIP. Onderzoekers van securitybedrijf Checkmarx ontdekten in totaal 21 kwetsbaarheden, waarvan er vijf al eerder in andere ip-camera's waren gevonden (pdf). De apparaten worden onder andere geleverd met standaardwachtwoorden die gebruikers niet hoeven te veranderen. Daarnaast zijn de ip-camera's standaard via het internet toegankelijk.

Verder bleek de apparatuur kwetsbaar voor stored cross-site scripting en server-side request forgery. De Android-app die bij de camera's hoort bevat volgens de onderzoekers malware en maakt bij het versturen van inloggegevens geen gebruik van encryptie. Beide fabrikanten werden eind maart over de kwetsbaarheden ingelicht, maar de onderzoekers ontvingen geen reactie. Het probleem is waarschijnlijk niet tot Loftek en VStarcam beperkt. Via de zoekmachine Shodan ontdekten de onderzoekers in totaal 1,3 miljoen ip-camera's die nagenoeg dezelfde software en hardware gebruiken en zeer waarschijnlijk ook kwetsbaar zijn.

Image

Reacties (1)
06-08-2017, 01:03 door Anoniem
Het lijkt steeds duidelijker te worden dat de fabrikanten van deze meuk helemaal geen interesse hebben in security en privacy van hun gebruikers. Dus wordt het niet eens tijd dat de AP in NL die fabrikanten verplicht om dit soort zooi te fixen. Lijkt me een aardige inbreuk op je privacy als je videobeelden op straat komen te liggen en de fabrikant van een product negeert moedwillig security researchers... Dat is tegenwoordig toch strafbaar?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.