Anker-dashcam door beveiligingslek op afstand over te nemen
Een dashcam van fabrikant Anker bevat verschillende kwetsbaarheden waardoor een aanvaller het apparaat op afstand kan overnemen. Een update voor de beveiligingslekken is niet beschikbaar, aangezien het onderzoekers van Cisco niet lukte om contact met de fabrikant te krijgen.
De kwetsbaarheden bevinden zich in de Anker Roav A1 dashcam en Novatek NT9665X-chipset. De dashcam is via de Roav-app te bedienen. Door het versturen van een geprepareerd wifi-pakket naar de dashcam kan een aanvaller een stack-based buffer overflow veroorzaken en vervolgens op afstand code op het apparaat uitvoeren. Zo is het onder andere voor een aanvaller mogelijk om opgenomen beelden te downloaden of verwijderen.
Daarnaast maakt de dashcam gebruik van een standaardwachtwoord en hoeft de gebruiker dat niet te veranderen. Een aanvaller kan zo verbinding met het wifi-netwerk van de dashcam maken en verdere aanvallen uitvoeren. Cisco waarschuwde Anker op 29 oktober vorig jaar. De fabrikant bevestigde het probleem en maakte een ticketreferentie aan. De onderzoekers vroegen herhaaldelijk om een statusupdate en contactpersoon, maar kregen geen reactie. Daarop heeft Cisco, 171 dagen na de eerste melding, de details van de kwetsbaarheden vrijgegeven.
Het is een ander verhaal bij dashcams die met 3G en 4G verbonden zijn, zoals de Cloud versies van van BlackVue: https://www.blackvue.com/dr900s-2ch/. Hiermee zou je in theorie van afstand kunnen inloggen op de server en bekijken waar mensen zijn.
In Nederland zijn een hoop dashcams met Wifi te krijgen, hier tel ik er bijvoorbeeld meer dan 30: https://www.allcam.nl/dashcams/wifi-dashcams. Voor zover ik weet werken deze allemaal met dezelfde Wifi functie als die van Anker. Je kunt het wachtwoord wel wijzigen maar het is niet verplicht.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
