Naar schatting 9 miljoen ip-camera's wereldwijd zijn toegankelijk omdat ze gebruikmaken van een kwetsbare cloudfeature, zo stelt securitybedrijf SEC Consult op basis van eigen onderzoek. De camera's zijn geproduceerd door het Chinese Hangzhou Xiongmai Technology en worden door meer dan 100 bedrijven onder hun eigen naam verkocht. Dit wordt ook wel "white labeling" genoemd.
Alle Xiongmai-apparaten zijn voorzien van een feature genaamd "XMEye P2P Cloud", die standaard staat ingeschakeld. Via de feature kunnen gebruikers vanaf het internet hun camera's thuis benaderen. De verbinding loopt via de cloudservers van Xiongmai. Elke ip-camera beschikt over een uniek ID dat gebruikers in een applicatie kunnen opgeven om verbinding te maken.
Het unieke ID blijkt echter helemaal niet zo uniek te zijn, aldus de onderzoekers van SEC Consult. Ze ontdekten dat het is afgeleid van het MAC-adres van de camera. Het MAC-adres is echter geen goede bron voor het genereren van willekeurige ID's, omdat het een duidelijk gedefinieerde structuur heeft, aldus de onderzoekers. Een aanvaller kan zodoende het MAC-adres enumereren en zo het ID achterhalen waarmee er toegang tot de camera kan worden verkregen.
De onderzoekers ontwikkelden vervolgens een scanner die de Xiongmai-cloudinfrastructuur scant op geldige ID's. Aan de hand van deze scan schatten de onderzoekers dat er op elk gegeven moment 9 miljoen ip-camera's online en toegankelijk zijn. Zodra er verbinding is gemaakt moet een gebruiker nog wel inloggen. De camera maakt hiervoor gebruik van een standaardwachtwoord en gebruikers zijn niet verplicht een ander veilig wachtwoord in te stellen. Zodra de gebruiker is ingelogd kan die videostreams bekijken, instellingen aanpassen en firmware-updates uitvoeren.
Naast het beheerdersaccount dat standaard is aangemaakt beschikt elke camera ook over een niet gedocumenteerde gebruiker. Dit gebruikersaccount, waar gebruikers geen weet van hebben, heeft een eenvoudig te achterhalen wachtwoord waarmee het mogelijk is om op de camera in te loggen en videostreams te bekijken. Verder blijkt dat het mogelijk is om kwaadaardige firmware op de camera's te installeren, aangezien de firmware-updates niet zijn gesigneerd.
De onderzoekers waarschuwden Xiongmai zeven maanden geleden, maar de problemen zijn nog steeds niet verholpen. SEC Consult adviseert dan ook om te stoppen met het gebruik van Xiongmai-camera's. De onderzoekers hebben in hun analyse verschillende aanwijzingen gegeven hoe gebruikers kunnen controleren of ze een Xiongmai-camera hebben.
Deze posting is gelocked. Reageren is niet meer mogelijk.