Een dashcam van fabrikant Anker bevat verschillende kwetsbaarheden waardoor een aanvaller het apparaat op afstand kan overnemen. Een update voor de beveiligingslekken is niet beschikbaar, aangezien het onderzoekers van Cisco niet lukte om contact met de fabrikant te krijgen.
De kwetsbaarheden bevinden zich in de Anker Roav A1 dashcam en Novatek NT9665X-chipset. De dashcam is via de Roav-app te bedienen. Door het versturen van een geprepareerd wifi-pakket naar de dashcam kan een aanvaller een stack-based buffer overflow veroorzaken en vervolgens op afstand code op het apparaat uitvoeren. Zo is het onder andere voor een aanvaller mogelijk om opgenomen beelden te downloaden of verwijderen.
Daarnaast maakt de dashcam gebruik van een standaardwachtwoord en hoeft de gebruiker dat niet te veranderen. Een aanvaller kan zo verbinding met het wifi-netwerk van de dashcam maken en verdere aanvallen uitvoeren. Cisco waarschuwde Anker op 29 oktober vorig jaar. De fabrikant bevestigde het probleem en maakte een ticketreferentie aan. De onderzoekers vroegen herhaaldelijk om een statusupdate en contactpersoon, maar kregen geen reactie. Daarop heeft Cisco, 171 dagen na de eerste melding, de details van de kwetsbaarheden vrijgegeven.
Deze posting is gelocked. Reageren is niet meer mogelijk.