image

Guardzilla IoT-camera lekt beelden door hardcoded wachtwoord

vrijdag 28 december 2018, 12:20 door Redactie, 10 reacties

Een Internet of Things-camera van fabrikant Guardzilla maakt gebruik van een hardcoded wachtwoord waardoor een aanvaller toegang kan krijgen tot beelden van gebruikers die de camera in de cloud opslaat. Het gaat om het cameramodel GZ521W, maar mogelijk zijn ook andere modellen kwetsbaar.

Het videobeveiligingssysteem van Guardzilla wordt aangeboden als een oplossing om woningen mee te monitoren. Gebruikers kunnen beelden live via een smartphone-app bekijken. Daarnaast worden beelden die de bewegingsmelder maakt naar de cloud geupload. Het gaat in dit geval om de cloud van Amazon.

Tijdens een recent hackerevenement analyseerden onderzoekers van 0DayAllDay de firmware van de camera en ontdekten daarin een hardcoded wachtwoord. Met dit wachtwoord is het mogelijk om toegang te krijgen tot alle beelden die door de camera in de cloud zijn opgeslagen. Guardzilla werd op 24 oktober ingelicht, alsmede het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit en securitybedrijf Rapid7.

Deze twee organisaties stuurden ook een waarschuwing naar de camerafabrikant, maar kregen geen reactie. Aangezien Guardzilla meer dan 60 dagen de tijd heeft gekregen om te reageren hebben de onderzoekers en Rapid7 besloten om de details openbaar te maken. Gebruikers van een Guardzilla IoT-camera krijgen het advies om de cloudopslag voor hun apparaat uit te schakelen.

Reacties (10)
28-12-2018, 13:08 door Tha Cleaner
IOT again.... Wanneer leren ze het nu eens. Daarnaast een beveiligingscamera met een hardcodes wachtwoord..... En niet reageren op een security waarschuwing.

zucht.....
28-12-2018, 13:36 door -karma4
Door Tha Cleaner: IOT again.... Wanneer leren ze het nu eens. Daarnaast een beveiligingscamera met een hardcodes wachtwoord..... En niet reageren op een security waarschuwing.

Dat IoT is echt een groot gevaar omdat er zoveel apparaten zijn en het aan internet hangt. De botnets die daarmee gemaakt kunnen worden zijn veel te groot en krachtig. Fabrikanten moeten gewoon gedwongen worden om de basale configuratie goed te doen. En update functionaliteit in te bouwen zodat bij eventuele problemen er een update kan worden gedaan om die op te lossen.
28-12-2018, 13:40 door Anoniem
Toch ideale securely through obscurity voor de globale surveillance. Zijn we blind voor dit gevaar?
28-12-2018, 15:51 door Anoniem
Door The FOSS:
Door Tha Cleaner: IOT again.... Wanneer leren ze het nu eens. Daarnaast een beveiligingscamera met een hardcodes wachtwoord..... En niet reageren op een security waarschuwing.

Dat IoT is echt een groot gevaar omdat er zoveel apparaten zijn en het aan internet hangt. De botnets die daarmee gemaakt kunnen worden zijn veel te groot en krachtig. Fabrikanten moeten gewoon gedwongen worden om de basale configuratie goed te doen. En update functionaliteit in te bouwen zodat bij eventuele problemen er een update kan worden gedaan om die op te lossen.

Hardcoded password of hard gecodeerd wachtwoord (red.) is altijd fout, IOT dingen moeten bij een eerste setup een veilig wachtwoord afdwingen. Router fabrikanten moeten insspringen op beveiliging voor de mindere IT goden onder ons door b.v. een apart IOT "guestnet" aan te bieden met een volledige netwerk isolatie van de rest van het thuisnetwerk.
28-12-2018, 19:20 door -karma4 - Bijgewerkt: 28-12-2018, 19:32
Door Anoniem:
Door The FOSS:...

Hardcoded password of hard gecodeerd wachtwoord (red.) is altijd fout, IOT dingen moeten bij een eerste setup een veilig wachtwoord afdwingen. Router fabrikanten moeten insspringen op beveiliging voor de mindere IT goden onder ons door b.v. een apart IOT "guestnet" aan te bieden met een volledige netwerk isolatie van de rest van het thuisnetwerk.

Dat vermindert het risico op besmetting van andere apparaten op het thuisnetwerk. Maar het gebruik van de gecompromitteerde IoT-apparatuur in een botnet blijft mogelijk.
28-12-2018, 19:48 door Briolet
Door Anoniem: …Router fabrikanten moeten insspringen op beveiliging voor de mindere IT goden onder ons door b.v. een apart IOT "guestnet" aan te bieden met een volledige netwerk isolatie van de rest van het thuisnetwerk.

Ik vraag me af of een "state of the art router" met 100% beveiliging hier ook maar iets geholpen zou hebben. Als ik het verhaal goed begrijp, geeft dat hardcoded wachtwoord toegang tot de extern opgeslagen bestanden. Daar kan een router dan niets meer aan doen.
29-12-2018, 12:20 door karma4
Door Briolet: Ik vraag me af of een "state of the art router" met 100% beveiliging hier ook maar iets geholpen zou hebben. Als ik het verhaal goed begrijp, geeft dat hardcoded wachtwoord toegang tot de extern opgeslagen bestanden. Daar kan een router dan niets meer aan doen.
Je bent alert. Het hardcoded password zal in het IOT apparaat zitten om alle gegevens van en naar servers in de cloud te brengen. Je hebt het over services en massaopslag op servers. Daar gaan we weer......
29-12-2018, 13:19 door Anoniem
En wederom verkeerde containerbeveiliging. Het is altijd weer de zwakste schakel, die het geheel laat omd*nderen.
Hardgecodeerde onveiligheid blijft hardgecodeerde onveiligheid.
29-12-2018, 23:40 door [Account Verwijderd]
Ik kan hier met mijn pet niet bij. Ja, 40 jaar gelden had je bijvoorbeeld cijfersloten voor fietsen met een 3-cijferige 'hardcoded' unlock.
Leest u goed? 40 jaar geleden.

Het is nu op een haar na 2019 en het is gezien dit nieuws weer overduidelijk dat sommige fabrikanten door de bank genomen uiterst mager verantwoordelijksheidsgevoel in hun producten investeren, behalve als er controlerende druk van boven (overheid) op hun productieproces wordt uitgeoefend.
Dit is dan wel een Amerikaans product maar omdat het apparaat geen bedreiging kent voor de fysieke veiligheid (riscio op verwondingen) waar in de US wèl nogal strenge normen voor worden aangelegd, ligt de focus waarschijnlijk weinig op digitale veiligheidsaspecten. Oorzaak: Ik heb de indruk dat dit niet of (nog) onvoldoende leeft.

De vrije marktwerking van multi-nationale ondernemingen nu wereldwijd uitgesmeerd brengt eerder verdere nonchalance tot aan minachting toe voor de doelgroep: koper/consument/eindgebruiker en het zal mij niets verbazen dat in de naaste toekomst ook de handhaving van veiligheidsnormen die ervoor zorgen dat gebruiksartikelen veilig om te gebruiken zijn - dus anders dan digitale veiligheid - ook zal verslonzen. Ik heb geen rooskleuring beeld van deze materie.
01-01-2019, 23:45 door Anoniem
Ik heb nog zo'n cam met hardwired ww ontdekt. Maar geen cent om te makken om wat te kopen om de ROM fs mee leeg te trekken voor verder onderzoek. IoT.... het zal geen vaart lopen, het aangekondigde succes dan.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.