image

Onderzoek: 9 miljoen ip-camera's toegankelijk door cloudfeature

woensdag 10 oktober 2018, 12:28 door Redactie, 9 reacties
Laatst bijgewerkt: 10-10-2018, 13:14

Naar schatting 9 miljoen ip-camera's wereldwijd zijn toegankelijk omdat ze gebruikmaken van een kwetsbare cloudfeature, zo stelt securitybedrijf SEC Consult op basis van eigen onderzoek. De camera's zijn geproduceerd door het Chinese Hangzhou Xiongmai Technology en worden door meer dan 100 bedrijven onder hun eigen naam verkocht. Dit wordt ook wel "white labeling" genoemd.

Alle Xiongmai-apparaten zijn voorzien van een feature genaamd "XMEye P2P Cloud", die standaard staat ingeschakeld. Via de feature kunnen gebruikers vanaf het internet hun camera's thuis benaderen. De verbinding loopt via de cloudservers van Xiongmai. Elke ip-camera beschikt over een uniek ID dat gebruikers in een applicatie kunnen opgeven om verbinding te maken.

Het unieke ID blijkt echter helemaal niet zo uniek te zijn, aldus de onderzoekers van SEC Consult. Ze ontdekten dat het is afgeleid van het MAC-adres van de camera. Het MAC-adres is echter geen goede bron voor het genereren van willekeurige ID's, omdat het een duidelijk gedefinieerde structuur heeft, aldus de onderzoekers. Een aanvaller kan zodoende het MAC-adres enumereren en zo het ID achterhalen waarmee er toegang tot de camera kan worden verkregen.

De onderzoekers ontwikkelden vervolgens een scanner die de Xiongmai-cloudinfrastructuur scant op geldige ID's. Aan de hand van deze scan schatten de onderzoekers dat er op elk gegeven moment 9 miljoen ip-camera's online en toegankelijk zijn. Zodra er verbinding is gemaakt moet een gebruiker nog wel inloggen. De camera maakt hiervoor gebruik van een standaardwachtwoord en gebruikers zijn niet verplicht een ander veilig wachtwoord in te stellen. Zodra de gebruiker is ingelogd kan die videostreams bekijken, instellingen aanpassen en firmware-updates uitvoeren.

Naast het beheerdersaccount dat standaard is aangemaakt beschikt elke camera ook over een niet gedocumenteerde gebruiker. Dit gebruikersaccount, waar gebruikers geen weet van hebben, heeft een eenvoudig te achterhalen wachtwoord waarmee het mogelijk is om op de camera in te loggen en videostreams te bekijken. Verder blijkt dat het mogelijk is om kwaadaardige firmware op de camera's te installeren, aangezien de firmware-updates niet zijn gesigneerd.

De onderzoekers waarschuwden Xiongmai zeven maanden geleden, maar de problemen zijn nog steeds niet verholpen. SEC Consult adviseert dan ook om te stoppen met het gebruik van Xiongmai-camera's. De onderzoekers hebben in hun analyse verschillende aanwijzingen gegeven hoe gebruikers kunnen controleren of ze een Xiongmai-camera hebben.

Reacties (9)
10-10-2018, 12:54 door Anoniem
Naast het feit dat de ID's makkelijk te achterhalen zijn: Dit soort Cloud diensten zijn als man-in-the-middle natuurlijk een groot gat in de beveiliging. Wie garandeert mij dat de beelden niet ergens centraal opgeslagen worden, en zelfs mogelijk door anderen met terugwerkende kracht terug te zien zijn?
10-10-2018, 13:01 door Anoniem
Krebs is ook al vol op het orgel aan het gaan:
https://krebsonsecurity.com/2018/10/naming-shaming-web-polluters-xiongmai/


Laten we eens zien of dit 'glas plas was' word; of dat hier nu wat aan gedaan word.

My 2 cents ;)
10-10-2018, 13:27 door Anoniem
Maar hey, wel allemaal een uniek password zoals de Canadezen zo graag willen.
10-10-2018, 13:54 door Anoniem
Door Anoniem: Maar hey, wel allemaal een uniek password zoals de Canadezen zo graag willen.
En volgens de voorschriften nog met gebruik van letters cijfers en bijzondere tekens en niet te kort.
Dit soort combinaties verzin je echt niet zomaar.
https://krebsonsecurity.com/wp-content/uploads/2016/10/iotbadpass-pdf.png
Dus..
10-10-2018, 14:04 door Anoniem
dit is zo mooi voor allerlei diensten, je zou er bijna wat van gaan denken.....
10-10-2018, 14:33 door Anoniem
Door Anoniem: Naast het feit dat de ID's makkelijk te achterhalen zijn: Dit soort Cloud diensten zijn als man-in-the-middle natuurlijk een groot gat in de beveiliging. Wie garandeert mij dat de beelden niet ergens centraal opgeslagen worden, en zelfs mogelijk door anderen met terugwerkende kracht terug te zien zijn?

Nou zeg het dan maar, wat heb je liever: een camera die zelf connect met een cloud service waar de gebruiker mee
kan connecten, of een camera die via UPnP of handmatige portforwards zelf geconnect kan worden vanaf internet?
10-10-2018, 14:51 door Anoniem
Door Anoniem: Naast het feit dat de ID's makkelijk te achterhalen zijn: Dit soort Cloud diensten zijn als man-in-the-middle natuurlijk een groot gat in de beveiliging. Wie garandeert mij dat de beelden niet ergens centraal opgeslagen worden, en zelfs mogelijk door anderen met terugwerkende kracht terug te zien zijn?

Er bestaan zelfs zoekmachines die deze scans al voor je hebben uitgevoerd.
10-10-2018, 16:04 door spatieman
geen van beide, zorgen dat je zelf de boel in orde hebt, en als mogelijk die p2p cloud shit achterwegen laat.
die dingen zitten ook nog eens 24/7 je upload op te vreten.
10-10-2018, 20:42 door Anoniem
Het zijn en blijven chinezen. alleen maar zicht op korte termijn.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.