image

Anker-dashcam door beveiligingslek op afstand over te nemen

maandag 13 mei 2019, 16:41 door Redactie, 1 reacties

Een dashcam van fabrikant Anker bevat verschillende kwetsbaarheden waardoor een aanvaller het apparaat op afstand kan overnemen. Een update voor de beveiligingslekken is niet beschikbaar, aangezien het onderzoekers van Cisco niet lukte om contact met de fabrikant te krijgen.

De kwetsbaarheden bevinden zich in de Anker Roav A1 dashcam en Novatek NT9665X-chipset. De dashcam is via de Roav-app te bedienen. Door het versturen van een geprepareerd wifi-pakket naar de dashcam kan een aanvaller een stack-based buffer overflow veroorzaken en vervolgens op afstand code op het apparaat uitvoeren. Zo is het onder andere voor een aanvaller mogelijk om opgenomen beelden te downloaden of verwijderen.

Daarnaast maakt de dashcam gebruik van een standaardwachtwoord en hoeft de gebruiker dat niet te veranderen. Een aanvaller kan zo verbinding met het wifi-netwerk van de dashcam maken en verdere aanvallen uitvoeren. Cisco waarschuwde Anker op 29 oktober vorig jaar. De fabrikant bevestigde het probleem en maakte een ticketreferentie aan. De onderzoekers vroegen herhaaldelijk om een statusupdate en contactpersoon, maar kregen geen reactie. Daarop heeft Cisco, 171 dagen na de eerste melding, de details van de kwetsbaarheden vrijgegeven.

Reacties (1)
14-11-2019, 11:34 door Anoniem
Het lijkt mij in de praktijk erg lastig om zomaar in te breken op een dashcam. Wat zou bovendien het praktisch nut zijn? Enkel wanneer er belastend materiaal op de camera staat zou het zin hebben om hem te 'hacken'.
Het is een ander verhaal bij dashcams die met 3G en 4G verbonden zijn, zoals de Cloud versies van van BlackVue: https://www.blackvue.com/dr900s-2ch/. Hiermee zou je in theorie van afstand kunnen inloggen op de server en bekijken waar mensen zijn.
In Nederland zijn een hoop dashcams met Wifi te krijgen, hier tel ik er bijvoorbeeld meer dan 30: https://www.allcam.nl/dashcams/wifi-dashcams. Voor zover ik weet werken deze allemaal met dezelfde Wifi functie als die van Anker. Je kunt het wachtwoord wel wijzigen maar het is niet verplicht.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.