Ernstig lek in surveillancecamera's tientallen fabrikanten

[Captain Kirk]

In de surveillancecamera's van meer dan 70 fabrikanten is een ernstig beveiligingslek aangetroffen waardoor een aanvaller op afstand code op de apparaten kan uitvoeren, zo ontdekte onderzoeker Rotem Kerner. Het gaat om systemen die uit een surveillancecamera en digitale videorecorder (dvr) bestaan.

Kerner kreeg inspiratie voor zijn onderzoek nadat eind 2014 bleek dat internetcriminelen winkels via hun dvr-systemen hackten en zo toegang tot de kassasystemen en creditcardgegevens van klanten kregen. "Surveillancecamera's zijn de eerste verdedigingslinie in de fysieke wereld, maar de zwakste schakel in de digitale wereld", aldus de onderzoeker. Hij besloot dan ook onderzoek te doen naar surveillancecamera's die via internet toegankelijk zijn. Een zoekopdracht via de Shodan-zoekmachine, waarmee op internet aangesloten apparaten kunnen worden gevonden, leverde meer dan 30.000 camera's op. Volgens de onderzoeker een topje van de ijsberg.

De volgende stap in het onderzoek bestond uit het achterhalen van de fabrikant. Het bleek om een Israëlisch bedrijf te gaan. In de firmware van het systeem vond Kerner een ernstige kwetsbaarheid waardoor hij op afstand code op het systeem kon uitvoeren. Verdere analyse liet zien dat het systeem en gebruikte firmware eigenlijk in China waren ontwikkeld. Meer dan 70 fabrikanten wereldwijd bleken het systeem onder hun eigen naam te verkopen. De oorspronkelijke fabrikant is het Chinese TVT.

De onderzoeker besloot dan ook om TVT voor de kwetsbaarheid te waarschuwen, maar zonder succes. Daarom heeft hij zijn bevindingen nu gepubliceerd, alsmede een lijst van alle kwetsbare fabrikanten. Doordat zoveel bedrijven dezelfde producten verkopen is het volgens Kerner lastig om het probleem te verhelpen. Ook is de kans klein dat ze allemaal met updates zullen komen, waardoor tal van gebruikers kwetsbaar achterblijven. Gebruikers krijgen dan ook het advies om de camera's alleen toegankelijk voor vertrouwde ip-adressen te maken.

 

bron: security.nl