ANPR-camera's Motorola Solutions waren kwetsbaar voor aanvallen
Kwetsbaarheden in ANPR-camera's van Motorola Solutions maakten het mogelijk voor aanvallers om allerlei aanvallen uit te voeren en toegang tot gevoelige informatie te krijgen. Daarvoor waarschuwt het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security. Volgens de Amerikaanse burgerrechtenbeweging EFF laten de kwetsbaarheden zien dat massasurveillance een dreiging voor de openbare veiligheid is.
Amerikaanse politiekorpsen gebruiken de 'Vigilant License Plate Readers' voor het scannen van kentekens. De EFF stelt dat tachtig agentschappen in Californië alleen via de betreffende camera's in 2022 meer dan 1,6 miljard kentekens hebben gescand. De apparaten bleken echter zeven kwetsbaarheden te bevatten. Zo kon een aanvaller met fysieke toegang de bootloader aanpassen en toegang krijgen tot het bestandssysteem en wachtwoordhashes.
Verder bleek dat de camera's data niet versleuteld opsloegen, kon een aanvaller via de beheerdersconsole toegang tot hardcoded inloggegevens voor een verborgen wifi-netwerk op het apparaat krijgen en was het mogelijk om met standaard inloggegevens op het besturingssysteem van de camera in te loggen. Ook bleek dat gevoelige klantgegevens niet versleuteld werden opgeslagen en waren de apparaten kwetsbaar voor replay-aanvallen. Als laatste werd ontdekt dat wachtwoorden voor logbestanden niet voldoende beveiligd waren en een aanvaller die kon decoderen.
Eén van de gevaarlijkste beveiligingslekken was volgens de EFF het standaard ingeschakelde wifi-netwerk, dat voor elke camera hetzelfde standaard wachtwoord gebruikte. Hierdoor kon iedereen in de buurt van een camera er verbinding mee maken. Verder stelt de burgerrechtenbeweging dat iemand met fysieke toegang ook een backdoor kon installeren, waarmee toegang mogelijk was ook wanneer het wifi-netwerk was uitgeschakeld.
De impact van de kwetsbaarheden bevindt zich op een schaal van 1 tot en met 10 tussen de 5.1 en 8.6. Motorola Solutions stelt dat de kwetsbaarheden inmiddels zijn verholpen en klanten geen actie hoeven te ondernemen. Wat betreft de kwetsbare bootloader komt het bedrijf eind dit jaar met een 'secure boot implementation'. Daarnaast maken alle camera's die sinds mei dit jaar zijn geleverd gebruik van volledige schijfversleuteling.
De EFF stelt dat politiediensten alleen de data moeten verzamelen voor daadwerkelijke strafrechtelijke onderzoeken. "Ze moeten nooit meer data opslaan dan ze adequaat met hun beperkte middelen kunnen beschermen, of ze beschermen het publiek tegen datalekken door helemaal geen data op te slaan."
Lees vooral ook de hele uitspraak van de rechter op https://privacyfirst.nl/wp-content/uploads/Vonnis_642185_HAZA_23-116_ext.pdf
Daarin staan bizarre hersenspinsels als
Nee duh, dat is het hele idee van een vrije democratische rechtstaat: dat de staat NIET altijd bijhoud wie, wanneer waar is voor het geval dat het later wel eens handig zou kunnen zijn om deze gegevens tegen iemand te gebruiken. Er moet altijd EERST een aanleiding of verdenking zijn, DAN PAS ga je opsporingsmiddelen inzetten en gegevens verzamelen. Als je structureel van iedereen alles bijhoud voor het geval dat, gaat de staat uit van wantrouwen tegenover onschuldige burgers en is de staat alvast bezig met vastleggen van bewijs.
Dit soort surveillance infrastructuur kun je in een vrije democratisch rechtstaat helemaal niet bouwen zonder deze af te breken. Het is slecht een kwestie van tijd voordat dit wordt ingezet tegen "vervelende" demonstranten en activisten, zeker nu we een extreem rechtse regering hebben die klimaat activisten als criminele organisatie wil aanpakken en bepaalde bevolkingsgroepen het land uit wil hebben.
Wie koopt die goedkope Chinese troep nou nog, lol.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
