image

Lek in 52.000 babycamera's kan aanvaller laten meekijken

woensdag 21 februari 2018, 16:10 door Redactie, 5 reacties

Onderzoekers hebben in een babycamera van fabrikant miSafes verschillende kwetsbaarheden gevonden waardoor aanvallers op afstand met 52.000 camera's kunnen meekijken en -luisteren, alsmede kinderen kunnen toespreken en beveiligingsupdates zijn niet beschikbaar.

Dat meldt securitybedrijf SEC Consult. De Mi-Cam van miSafes kan via een smartphone-app worden bediend. Via de app is het mogelijk om de beelden van de camera te bekijken. Ook beschikt de camera over een luidspreker en microfoon om naar het kind te luisteren of het toe te spreken. Zowel in de Android-app en onderliggende clouddienst als de camera zelf vonden de onderzoekers meerdere beveiligingslekken waardoor derden toegang kunnen krijgen.

Voor de communicatie tussen de smartphone-app en camera wordt er van verschillende "api calls" gebruikgemaakt. Verschillende belangrijke api calls zijn met willekeurige sessietokens toegankelijk. Hiermee kan de aanvaller informatie over accounts en de bijbehorende babycamera's achterhalen. Deze informatie is voldoende om met de babycamera's verbinding te maken. Verder is de wachtwoordresetfunctie kwetsbaar voor bruteforce-aanvallen, wordt er een zwak standaardwachtwoord gebruikt, is het mogelijk om gebruikersaccounts te achterhalen en maakt de camera gebruik van verouderde software met bekende kwetsbaarheden, waaronder BusyBox, OpenSSL en Linux.

Volgens SEC Consult lopen in totaal 52.000 gebruikersaccounts en bijbehorende camera's risico. De onderzoekers waarschuwden miSafes begin december vorig jaar. Ondanks herhaaldelijke pogingen leverde dit geen reactie op. Aangezien miSafes een Chinees bedrijf is werd het Chinese Computer Network Emergency Response Technical Team ingelicht, maar de e-mails die de onderzoekers verstuurden kwamen niet aan. Vervolgens stapten de onderzoekers naar het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit met de vraag of deze organisatie de kwetsbaarheden met miSafes wilde coördineren. CERT/CC besloot dit echter niet te doen.

Daarop zijn de details nu openbaar gemaakt. SEC Consult adviseert eigenaren van een kwetsbare camera om die offline te halen zolang er geen beveiligingsupdates beschikbaar zijn. De onderzoekers sluiten niet uit dat nog meer apparaten met de gevonden kwetsbaarheden te maken hebben. Hieronder een demonstratie van de aanval.

Image

Reacties (5)
21-02-2018, 19:04 door Anoniem
Iemand moet voor die baby's spreken: dit vinden wij baby's niet leuk!
22-02-2018, 15:20 door Anoniem
Babies in de cloud. Willen we dat? Zucht............
22-02-2018, 16:48 door Anoniem
Door Anoniem: Babies in de cloud. Willen we dat? Zucht............

Zeg dat....


shaking hands
23-02-2018, 11:15 door Anoniem
Na 2 jaar en vele nieuwere modellen wordt jouw endoflife webcam niet meer ondersteunt en er wordt dus geen nieuwe soft-/firm-ware / patches voor ontwikkeld. Daardoor wordt de consument verplicht iedere 2 jaar z'n goed-functionerende (maar hackable) webcam te vervangen. Je zou toch denken dat dat alleen in het (economisch) belang is voor de fabrikant.
Nu staat mijn (4 jaar oude, niet meer ondersteunde) cam op de weg gericht en het interesseert mij niet dat andere mee kunnen kijken en/of dat ze dat iot ding kunnen misbruiken voor ddos or whatever.
Ik leg me dr niet bij neer elke 2 jaar een nieuwe te kopen of een duurdere die enkelt duurder is omdat tie langer wordt gesupport.

Net zoals samsung en andere mobile-uitzuigers hun tijdelijke update-beleid zo hebben opgezet dat ze kunnen blijven verkopen.
Net zoals andere bruin- en wit-goed zo wordt gemaakt dat ze na een bepaalde periode dood gaan.
De consumptiemaatschappij: Kopen, kopen en nog 's kopen; fabriceren , fabriceren en nog meeeeeer fabriceren; geld binnen harken, en nog meer geld willen binnenharken om de jaarlijkse groei van 10% te behalen, anders vervalt je bestaansrecht op deze economisch concurrende strijdplatform. bijzaak dat we daarmee het milleu en daarmee onze leefomgeving leegzuigen en onleefbaar maken.
26-02-2018, 13:36 door Anoniem
Eens
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.