Kwetsbaarheden in ANPR-camera's van Motorola Solutions maakten het mogelijk voor aanvallers om allerlei aanvallen uit te voeren en toegang tot gevoelige informatie te krijgen. Daarvoor waarschuwt het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security. Volgens de Amerikaanse burgerrechtenbeweging EFF laten de kwetsbaarheden zien dat massasurveillance een dreiging voor de openbare veiligheid is.
Amerikaanse politiekorpsen gebruiken de 'Vigilant License Plate Readers' voor het scannen van kentekens. De EFF stelt dat tachtig agentschappen in Californië alleen via de betreffende camera's in 2022 meer dan 1,6 miljard kentekens hebben gescand. De apparaten bleken echter zeven kwetsbaarheden te bevatten. Zo kon een aanvaller met fysieke toegang de bootloader aanpassen en toegang krijgen tot het bestandssysteem en wachtwoordhashes.
Verder bleek dat de camera's data niet versleuteld opsloegen, kon een aanvaller via de beheerdersconsole toegang tot hardcoded inloggegevens voor een verborgen wifi-netwerk op het apparaat krijgen en was het mogelijk om met standaard inloggegevens op het besturingssysteem van de camera in te loggen. Ook bleek dat gevoelige klantgegevens niet versleuteld werden opgeslagen en waren de apparaten kwetsbaar voor replay-aanvallen. Als laatste werd ontdekt dat wachtwoorden voor logbestanden niet voldoende beveiligd waren en een aanvaller die kon decoderen.
Eén van de gevaarlijkste beveiligingslekken was volgens de EFF het standaard ingeschakelde wifi-netwerk, dat voor elke camera hetzelfde standaard wachtwoord gebruikte. Hierdoor kon iedereen in de buurt van een camera er verbinding mee maken. Verder stelt de burgerrechtenbeweging dat iemand met fysieke toegang ook een backdoor kon installeren, waarmee toegang mogelijk was ook wanneer het wifi-netwerk was uitgeschakeld.
De impact van de kwetsbaarheden bevindt zich op een schaal van 1 tot en met 10 tussen de 5.1 en 8.6. Motorola Solutions stelt dat de kwetsbaarheden inmiddels zijn verholpen en klanten geen actie hoeven te ondernemen. Wat betreft de kwetsbare bootloader komt het bedrijf eind dit jaar met een 'secure boot implementation'. Daarnaast maken alle camera's die sinds mei dit jaar zijn geleverd gebruik van volledige schijfversleuteling.
De EFF stelt dat politiediensten alleen de data moeten verzamelen voor daadwerkelijke strafrechtelijke onderzoeken. "Ze moeten nooit meer data opslaan dan ze adequaat met hun beperkte middelen kunnen beschermen, of ze beschermen het publiek tegen datalekken door helemaal geen data op te slaan."
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.