Lek in 52.000 babycamera's kan aanvaller laten meekijken
Onderzoekers hebben in een babycamera van fabrikant miSafes verschillende kwetsbaarheden gevonden waardoor aanvallers op afstand met 52.000 camera's kunnen meekijken en -luisteren, alsmede kinderen kunnen toespreken en beveiligingsupdates zijn niet beschikbaar.
Dat meldt securitybedrijf SEC Consult. De Mi-Cam van miSafes kan via een smartphone-app worden bediend. Via de app is het mogelijk om de beelden van de camera te bekijken. Ook beschikt de camera over een luidspreker en microfoon om naar het kind te luisteren of het toe te spreken. Zowel in de Android-app en onderliggende clouddienst als de camera zelf vonden de onderzoekers meerdere beveiligingslekken waardoor derden toegang kunnen krijgen.
Voor de communicatie tussen de smartphone-app en camera wordt er van verschillende "api calls" gebruikgemaakt. Verschillende belangrijke api calls zijn met willekeurige sessietokens toegankelijk. Hiermee kan de aanvaller informatie over accounts en de bijbehorende babycamera's achterhalen. Deze informatie is voldoende om met de babycamera's verbinding te maken. Verder is de wachtwoordresetfunctie kwetsbaar voor bruteforce-aanvallen, wordt er een zwak standaardwachtwoord gebruikt, is het mogelijk om gebruikersaccounts te achterhalen en maakt de camera gebruik van verouderde software met bekende kwetsbaarheden, waaronder BusyBox, OpenSSL en Linux.
Volgens SEC Consult lopen in totaal 52.000 gebruikersaccounts en bijbehorende camera's risico. De onderzoekers waarschuwden miSafes begin december vorig jaar. Ondanks herhaaldelijke pogingen leverde dit geen reactie op. Aangezien miSafes een Chinees bedrijf is werd het Chinese Computer Network Emergency Response Technical Team ingelicht, maar de e-mails die de onderzoekers verstuurden kwamen niet aan. Vervolgens stapten de onderzoekers naar het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit met de vraag of deze organisatie de kwetsbaarheden met miSafes wilde coördineren. CERT/CC besloot dit echter niet te doen.
Daarop zijn de details nu openbaar gemaakt. SEC Consult adviseert eigenaren van een kwetsbare camera om die offline te halen zolang er geen beveiligingsupdates beschikbaar zijn. De onderzoekers sluiten niet uit dat nog meer apparaten met de gevonden kwetsbaarheden te maken hebben. Hieronder een demonstratie van de aanval.
Zeg dat....
shaking hands
Nu staat mijn (4 jaar oude, niet meer ondersteunde) cam op de weg gericht en het interesseert mij niet dat andere mee kunnen kijken en/of dat ze dat iot ding kunnen misbruiken voor ddos or whatever.
Ik leg me dr niet bij neer elke 2 jaar een nieuwe te kopen of een duurdere die enkelt duurder is omdat tie langer wordt gesupport.
Net zoals samsung en andere mobile-uitzuigers hun tijdelijke update-beleid zo hebben opgezet dat ze kunnen blijven verkopen.
Net zoals andere bruin- en wit-goed zo wordt gemaakt dat ze na een bepaalde periode dood gaan.
De consumptiemaatschappij: Kopen, kopen en nog 's kopen; fabriceren , fabriceren en nog meeeeeer fabriceren; geld binnen harken, en nog meer geld willen binnenharken om de jaarlijkse groei van 10% te behalen, anders vervalt je bestaansrecht op deze economisch concurrende strijdplatform. bijzaak dat we daarmee het milleu en daarmee onze leefomgeving leegzuigen en onleefbaar maken.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
