image

ANPR-camera's Motorola Solutions waren kwetsbaar voor aanvallen

dinsdag 25 juni 2024, 10:41 door Redactie, 2 reacties

Kwetsbaarheden in ANPR-camera's van Motorola Solutions maakten het mogelijk voor aanvallers om allerlei aanvallen uit te voeren en toegang tot gevoelige informatie te krijgen. Daarvoor waarschuwt het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security. Volgens de Amerikaanse burgerrechtenbeweging EFF laten de kwetsbaarheden zien dat massasurveillance een dreiging voor de openbare veiligheid is.

Amerikaanse politiekorpsen gebruiken de 'Vigilant License Plate Readers' voor het scannen van kentekens. De EFF stelt dat tachtig agentschappen in Californië alleen via de betreffende camera's in 2022 meer dan 1,6 miljard kentekens hebben gescand. De apparaten bleken echter zeven kwetsbaarheden te bevatten. Zo kon een aanvaller met fysieke toegang de bootloader aanpassen en toegang krijgen tot het bestandssysteem en wachtwoordhashes.

Verder bleek dat de camera's data niet versleuteld opsloegen, kon een aanvaller via de beheerdersconsole toegang tot hardcoded inloggegevens voor een verborgen wifi-netwerk op het apparaat krijgen en was het mogelijk om met standaard inloggegevens op het besturingssysteem van de camera in te loggen. Ook bleek dat gevoelige klantgegevens niet versleuteld werden opgeslagen en waren de apparaten kwetsbaar voor replay-aanvallen. Als laatste werd ontdekt dat wachtwoorden voor logbestanden niet voldoende beveiligd waren en een aanvaller die kon decoderen.

Eén van de gevaarlijkste beveiligingslekken was volgens de EFF het standaard ingeschakelde wifi-netwerk, dat voor elke camera hetzelfde standaard wachtwoord gebruikte. Hierdoor kon iedereen in de buurt van een camera er verbinding mee maken. Verder stelt de burgerrechtenbeweging dat iemand met fysieke toegang ook een backdoor kon installeren, waarmee toegang mogelijk was ook wanneer het wifi-netwerk was uitgeschakeld.

De impact van de kwetsbaarheden bevindt zich op een schaal van 1 tot en met 10 tussen de 5.1 en 8.6. Motorola Solutions stelt dat de kwetsbaarheden inmiddels zijn verholpen en klanten geen actie hoeven te ondernemen. Wat betreft de kwetsbare bootloader komt het bedrijf eind dit jaar met een 'secure boot implementation'. Daarnaast maken alle camera's die sinds mei dit jaar zijn geleverd gebruik van volledige schijfversleuteling.

De EFF stelt dat politiediensten alleen de data moeten verzamelen voor daadwerkelijke strafrechtelijke onderzoeken. "Ze moeten nooit meer data opslaan dan ze adequaat met hun beperkte middelen kunnen beschermen, of ze beschermen het publiek tegen datalekken door helemaal geen data op te slaan."

Reacties (2)
25-06-2024, 11:45 door Anoniem
Ondertussen heeft de NL rechter de deur naar totale massa surveillance wijd opengezet: https://privacyfirst.nl/artikelen/rechtszaak-privacy-first-tegen-anpr-massa-surveillance/

Lees vooral ook de hele uitspraak van de rechter op https://privacyfirst.nl/wp-content/uploads/Vonnis_642185_HAZA_23-116_ext.pdf

Daarin staan bizarre hersenspinsels als
Er zijn geen andere (lichtere) middelen beschikbaar, waarmee op dezelfde effectieve wijze achteraf voertuigbewegingen kunnen worden nagegaan.

Nee duh, dat is het hele idee van een vrije democratische rechtstaat: dat de staat NIET altijd bijhoud wie, wanneer waar is voor het geval dat het later wel eens handig zou kunnen zijn om deze gegevens tegen iemand te gebruiken. Er moet altijd EERST een aanleiding of verdenking zijn, DAN PAS ga je opsporingsmiddelen inzetten en gegevens verzamelen. Als je structureel van iedereen alles bijhoud voor het geval dat, gaat de staat uit van wantrouwen tegenover onschuldige burgers en is de staat alvast bezig met vastleggen van bewijs.

Dit soort surveillance infrastructuur kun je in een vrije democratisch rechtstaat helemaal niet bouwen zonder deze af te breken. Het is slecht een kwestie van tijd voordat dit wordt ingezet tegen "vervelende" demonstranten en activisten, zeker nu we een extreem rechtse regering hebben die klimaat activisten als criminele organisatie wil aanpakken en bepaalde bevolkingsgroepen het land uit wil hebben.
25-06-2024, 11:58 door Anoniem
Motorola... Die van die telefoons met van zo'n Chinese sweatshopstem die "hayppy mo-to" bij het opstarten zegt waar iedereen zo'n hekel aan heeft?
Wie koopt die goedkope Chinese troep nou nog, lol.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.