image

Ernstig lek in Swann-camera's kon aanvaller laten meekijken

donderdag 26 juli 2018, 13:15 door Redactie, 0 reacties

Een ernstige kwetsbaarheid in beveiligingscamera's van fabrikant Swann maakte het mogelijk voor aanvallers om met de camera's van alle gebruikers mee te kijken. Swann-camera's kunnen video direct via het lokale netwerk streamen of via een clouddienst van het bedrijf Ozvision.

Hiervoor maken de camera's gebruik van een app. De camera's beschikken over een serienummer dat voor het verkeer tussen de app en cloudservers wordt gebruikt. Door het aanpassen van het serienummer in de communicatie tussen app en server konden onderzoekers met de beelden van een andere camera meekijken. Ze stellen dat ze binnen 3 dagen alle mogelijke serienummers van de camera's hadden kunnen achterhalen. Zodoende was het mogelijk geweest om de beelden van alle gebruikers te zien.

"Cloudproviders, verwar authenticatie niet met autorisatie. Het is belangrijk dat gebruikers alleen hun eigen content kunnen bekijken. Zorg ervoor dat ontwikkelaars een secure development lifecycle begrijpen en hiermee oefenen", zegt onderzoeker Andrew Tierney. De kwetsbaarheid is inmiddels verholpen. Eigenaren van een Swann-camera krijgen het advies de app en de camerafirmware te updaten.

Nog geen reacties
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.