Onderzoekers hebben in een babycamera van fabrikant miSafes verschillende kwetsbaarheden gevonden waardoor aanvallers op afstand met 52.000 camera's kunnen meekijken en -luisteren, alsmede kinderen kunnen toespreken en beveiligingsupdates zijn niet beschikbaar.
Dat meldt securitybedrijf SEC Consult. De Mi-Cam van miSafes kan via een smartphone-app worden bediend. Via de app is het mogelijk om de beelden van de camera te bekijken. Ook beschikt de camera over een luidspreker en microfoon om naar het kind te luisteren of het toe te spreken. Zowel in de Android-app en onderliggende clouddienst als de camera zelf vonden de onderzoekers meerdere beveiligingslekken waardoor derden toegang kunnen krijgen.
Voor de communicatie tussen de smartphone-app en camera wordt er van verschillende "api calls" gebruikgemaakt. Verschillende belangrijke api calls zijn met willekeurige sessietokens toegankelijk. Hiermee kan de aanvaller informatie over accounts en de bijbehorende babycamera's achterhalen. Deze informatie is voldoende om met de babycamera's verbinding te maken. Verder is de wachtwoordresetfunctie kwetsbaar voor bruteforce-aanvallen, wordt er een zwak standaardwachtwoord gebruikt, is het mogelijk om gebruikersaccounts te achterhalen en maakt de camera gebruik van verouderde software met bekende kwetsbaarheden, waaronder BusyBox, OpenSSL en Linux.
Volgens SEC Consult lopen in totaal 52.000 gebruikersaccounts en bijbehorende camera's risico. De onderzoekers waarschuwden miSafes begin december vorig jaar. Ondanks herhaaldelijke pogingen leverde dit geen reactie op. Aangezien miSafes een Chinees bedrijf is werd het Chinese Computer Network Emergency Response Technical Team ingelicht, maar de e-mails die de onderzoekers verstuurden kwamen niet aan. Vervolgens stapten de onderzoekers naar het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit met de vraag of deze organisatie de kwetsbaarheden met miSafes wilde coördineren. CERT/CC besloot dit echter niet te doen.
Daarop zijn de details nu openbaar gemaakt. SEC Consult adviseert eigenaren van een kwetsbare camera om die offline te halen zolang er geen beveiligingsupdates beschikbaar zijn. De onderzoekers sluiten niet uit dat nog meer apparaten met de gevonden kwetsbaarheden te maken hebben. Hieronder een demonstratie van de aanval.
Deze posting is gelocked. Reageren is niet meer mogelijk.