Onderzoekers vinden lek dat overnemen D-Link-wificamera mogelijk maakt

Beveiligingsonderzoekers van het bedrijf Senrio hebben een lek in de firmware van de D-Link DCS 930L-wificamera gevonden, dat het op afstand uitvoeren van willekeurige code mogelijk maakt. Aan een patch wordt nog gewerkt.

De kwetsbaarheid betreft een stack overflow die kan worden veroorzaakt door een enkel commando dat assembly code bevat. Daardoor kan een aanvaller kwaadaardige code op het apparaat uitvoeren en bijvoorbeeld het wachtwoord aanpassen om op afstand toegang tot de camera te krijgen. Een sterk wachtwoord is geen toereikende verdediging daartegen, zo stelt Senrio.

Het bedrijf gaat er aan de hand van de eigenschappen van het lek van uit dat het ook in andere D-Link-cameramodellen aanwezig is. Vijf andere modellen zouden in elk geval kwetsbaar zijn. Senrio maakt echter niet duidelijk om welke modellen het gaat. De onderzoekers voegen daaraan toe dat het lek hoogstwaarschijnlijk te maken heeft met gebrekkige implementatie van firmware in goedkope socs.

Tegenover Securityweek stelt Senrio dat het lek eenvoudig te misbruiken is via het lokale netwerk of via internet. Omdat het een populaire camera is, lopen volgens de onderzoekers veel gebruikers een risico. D-Link laat aan de site weten dat er een patch in de maak is. Zodra deze beschikbaar is, kunnen gebruikers hem van de D-Link-site downloaden.

Volgens Securityweek is het niet de eerste keer dat er kwetsbaarheden in deze camera zijn gevonden. Zo was het eerder mogelijk om bestanden naar het apparaat te uploaden en bleek het inzetbaar als backdoor.

Door Sander van Voorst

Nieuwsredacteur

Feedback • 09-06-2016 11:55
36 • submitter: Wolfos

09-06-2016 • 11:55

36 Linkedin

Submitter: Wolfos

Lees meer

D-Link DCS-930L

geen prijs bekend

Score: 3.5

Consumentenbond: gebruik beveiligingscamera's die werken met de CamHi-app niet Nieuws van 12 juni 2020
D-Link introduceert bewakingscamera's met Alexa- en Assistant-ondersteuning Nieuws van 29 mei 2018
D-Link introduceert 802.11ax- en door McAfee beveiligde routers Nieuws van 9 januari 2018
Lekken in Foscam-ip-camera's laten aanvaller apparaat overnemen - update Nieuws van 7 juni 2017
'Patch blijft uit voor lekken die Nest-camera's kunnen laten crashen' Nieuws van 21 maart 2017
Gepatchte Samsung-ip-camera bevat nog steeds lek dat overname mogelijk maakt Nieuws van 18 januari 2017
FTC dient klacht tegen D-Link in om onveilige ip-camera's en routers Nieuws van 6 januari 2017
Tachtig Sony ip-camera-modellen bevatten debugging backdoor Nieuws van 7 december 2016
D-Link introduceert nieuwe router en smarthome-apparaten Nieuws van 5 september 2016
Kwetsbaarheid in Facebook Messenger werkte zowel in app als browser Nieuws van 7 juni 2016
Lenovo raadt aan bloatware wegens man-in-the-middle-risico te verwijderen Nieuws van 2 juni 2016
Onderzoekers presenteren exploit die geen lek in software nodig heeft Nieuws van 25 mei 2016
Microsoft en Adobe waarschuwen voor zero-day-kwetsbaarheden Nieuws van 11 mei 2016
Onderzoekers vinden kwetsbaarheden in Samsungs SmartThings-platform Nieuws van 2 mei 2016
'Goede beveiliging voor het internet-of-things komt pas na een tweede Stuxnet' Nieuws van 1 april 2016
Meer producten en artikelen
Netwerk en systeembeheer Bewakingscamera's D-Link Security

Reacties (36)

-Moderatie-faq
36
36
33
2
0
2
Wijzig sortering
HollowGamer
9 juni 2016 12:11
Waarvan vervolgens 80% tot 90% de firmware nooit zal updaten, omdat het proces daarvoor te moeilijk is.

Waarvoor wordt er niet gebruikt gemaakt van een automatische update functie, en wordt er een maximale termijn aangegeven waarvoor updates gelden? Bijvoorbeeld deze camera ontvangt (beveiligings)updates tot 2017-01? Kan dit niet met een wet worden afgedwongen? Dit is namelijk niet alleen een probleem bij camera's, maar geldt net zo goed voor alle andere hardware die aan het internet hangt (zoals telefoons, routers, etc.).

Begrijp heel goed dat fabrikanten niet producten tot de eeuwigheid kunnen ondersteunen (hardware is simpel 'op'), maar nergens lees ik duidelijk wat er mag worden verwacht, en is het vaak maar afwachten of producten uiteindelijk nog veilig zijn. Zie bijvoorbeeld telefoons die blijven hangen op een oude Android versie, same met deze camera's. Wees dan liever gewoon duidelijk: niet meer te gebruiken na/updates tot, verder gebruik op eigen risico.

Tevens zou het een pluspunt zijn als er meer gebruik zou worden gemaakt van opensource, zodat ook de communitie hardware kan blijven ondersteunen, maar nog belangrijker, kan onderzoeken op (ernstige beveiligings)fouten.

[Reactie gewijzigd door HollowGamer op 9 juni 2016 20:08]

cmegens
@HollowGamer9 juni 2016 12:38
Ik zal het je nog erger vertellen. Ik heb een D-Link camera, ladder erbij, opgehangen, mooi weggewerkt uit het zicht, verbonden, helemaal top. Vervolgens wil je de firmware updaten, dat kan niet via een knop in de admin, je moet naar de website van D-Link. Daar vragen ze dan welke hardware revisie je hebt, welke op de sticker onderop je camera staat. Kortom, dan kun je de trap weer op, alles losmaken en losschroeven.... wat een gedoe. Dus laat dat updaten dan maar zitten....
Icekiller2k6
@cmegens9 juni 2016 13:12
zeker dat deze informatie nergens met een barcode info ofzo op de doos stond?

on topic
Dit is inderdaad echt wel jammer.. daarmee dat het handig zou zijn dat na X jaar ze gewoon zouden toelaten voor opensource software erop te maken en dit minstens de basis te ondersteunen.
cmegens
@Icekiller2k69 juni 2016 13:23
Geen idee, maar ik ga niet van alles de doos bewaren. Dan is mijn huis snel te klein. Het is gewoon idioot dat dit niet in de admin staat, of nog netter, dat de admin niet gewoon zelf de juiste firmware download.
thefal
@cmegens9 juni 2016 15:36
Ik maak van dat soort dingen altijd een foto, die ik dan opsla in mijn safe in cloud (soort keepass), of ik zet de dingen zelf erin. Je weet nooit wanneer het van pas kan komen...

Blijft erbij dat het updateproces erg slordig is inderdaad!
cmegens
@thefal10 juni 2016 11:20
Precies. Dat is mijn punt. Dat jij dat als tweaker doet omdat je hier al ervaring mee hebt is mooi, maar uiteindelijk is het gewoon slecht ontworpen. En dat is vaak bij dit soort dingen, het valt prima te ondervangen door gewoon goede ontwerp vragen te stellen en goede quality control toe te passen. Maar dit soort producten is vaak gewoon zo snel mogelijk de markt in duwen en cashen. Op zich niks mis mee, maar je laat als fabrikant een hele hoop mogelijkheden open voor onecht of onverwacht gebruik. Wat jij doet met je foto's is daar een voorbeeld van, wat de hackers doen ook. In dit geval kan het dus grote gevolgen hebben voor de veiligheid en privacy. Normaal betaal ik liever meer voor een goed ontworpen product (zoals bijvoorbeeld de NAS-en van Synology), maar in de IP camera land steekt er niet echt een partij boven uit.

[Reactie gewijzigd door cmegens op 10 juni 2016 11:21]

TonnyTonny
@cmegens9 juni 2016 12:51
Dat is me één keer overkomen....
Daarom maak ik tegenwoordig ik altijd een foto van het type-plaatje voordat ik een apparaat wegzet op een plek waar dat plaatje niet in het zicht zit.
Bespaart zo'n hoop gedoe...
mjl
@HollowGamer9 juni 2016 12:27
Is ook en kwestie van marktwerking, als men meer geld wil uitgeven voor een betere ondersteuning of de prijs laten afhangen van de duur van de ondersteuning zoals jij voorsteld dan zou dat zomaar werken...

Ik denk echter dat het gros van de gebruikers niet geen biet mee te maken wil hebben, dat is te veel technisch en een groot deel weet niet eens dat het relevant is.

Wat dat betreft zouden dit soort zaken onderdeel moeten zijn van de basis school opleiding, "Hoe hack ik mijn ouders webcam en hoe zorg ik er voor dat die dan goed beveiligd wordt."

[Reactie gewijzigd door mjl op 9 juni 2016 12:29]

ArtGod
@mjl9 juni 2016 13:07
Totdat een filmpje waar ze 'bezig' zijn op het internet verschijnt. Dan zullen ze er waarschijnlijk wel om geven. En zijn ze een kapitaal aan rechtszaken kwijt om de filmpjes van het internet te krijgen (wat ze toch niet gaat lukken).
Frostbite
@HollowGamer9 juni 2016 12:38
Proces hoeft niet moeilijk te zijn. Een simpele handleiding en een firmware update programma met GUI dan kan elke leek met een paar klikken het apparaat bijwerken.

Een wet hiervoor laten maken is niet te doen en ik denk ook best overdreven. Tegen de tijd dat die er is dan is de techniek weer zodanig aangepast dat de wet al weer verouderd is. Daarbij moet je zoveel zaken daarin opnemen...

Het is gewoon een kwestie van winst. Fabrikanten leveren een apparaat met software welke werkt.
Een deel van de producten zul je wat actiever moeten onderhouden qua firmware updates (router, telefoon,enz) terwijl camera en switches (unmanaged) nooit een update zullen krijgen. Het risico dat er 'iets' gevonden wordt is verwaarloosbaar.

Nu hebben ze wat gevonden en dan reageert Dlink goed door dit op te gaan lossen middels een patch. Als ik in de pricewatch kijk dan is die camera al bijna 5 jaar oud. Dan vind ik het ook niet vreemd dat ze nu ineens iets tegenkomen.

Maar laten we eerlijk wezen voor 30 euro mag je toch geen super beveilgde camera verwachten toch ?
ArtGod
@Frostbite9 juni 2016 13:09
Op dit soort apparaten draait meestal een hele Linux installatie en over updaten is maar beperkt nagedacht. Ik denk dat ze gewoon een hele image erop knallen en waarschijnlijk hebben ze ook geen backup bootloader dus als het halverwege mis gaat dan is die ook nog eens ge-bricked.
meezcore
@HollowGamer9 juni 2016 13:54
Men moet verplicht worden bij het staken van ondersteuning de broncode vrij te geven.
ATS
@meezcore9 juni 2016 14:00
Dat moet je wel een goede definitie van "ondersteuning" gaan geven.
leuk_he
@HollowGamer9 juni 2016 13:59
Waarom niet:
- Update functie kost geld, kostprijs omhoog.
- Fabrikant moet nadat geld is ontvangen blijven investeren in produkt.
- Verkopers denken meestal nog steeds in dozen schuiven. Niet in software updates.
- Onvolledige update functies (zonder https / certificaat controle) zijn juist ook een mogelijkheid de apparaten te hijacken.

Waarom wel
- Een gekaapt apparaat kan heeel veel schade opleveren. Stel je voor waar iemand meekijkt.
- Een gekaapt apparaat kan gebruikt worden als spam/DDOS bot. Helemaal onzichtbaar, totdat je internet wordt afgesloten.
- Beter voor reputatie van fabrikant.
SoLiD46
@HollowGamer9 juni 2016 19:29
Bij al mijn Dlink camera's kan ik gewoon inloggen op zijn ip en bij status staat elke detail, inclusief hardware revision..

Ik zou toch eens goed kijken!
Bux666
@HollowGamer10 juni 2016 14:24
Begrijp heel goed dat fabrikanten niet producten tot de eeuwigheid kunnen ondersteunen (hardware is simpel 'op') [...]
De fabrikant hoeft maar enkele exemplaren te bewaren (feitelijk maar 1) om tot in de eeuwigheid te kunnen blijven ondersteunen. Het heeft niks met de hardware te maken, het is een mentaliteit.

Commercie wilt verkoop. Het blijven ondersteunen van oude meuk leidt tot minder aanschaf van nieuwe hardware. Sec gezien is het gewoon laksheid van de fabrikant en heeft deze weinig boodschap aan zijn eigen klanten... :|
Fantasma7988
9 juni 2016 12:20
Denk toch wel dat de meeste mensen die zo een camera kopen toch ook wel een update uit kunnen voeren of iemand in de kenniskring heeft die dat kan.

En er is geen enkel product 100 procent dicht tegen hackers etc, D-link zal ook zeker niet de enigste fabrikant zijn die er last van heeft..
Nu alleen wel snel die nieuwe update erop zetten nu het vers in het geheugenstaat.
StefanTs
@Fantasma79889 juni 2016 12:25
Ik denk dat je dat heel verkeerd inschat. Enig idee hoeveel van die dingen via het internet benaderbaar zijn omdat mensen niet eens weten dat ze er een paswoord op moeten zetten?

Dat iemand in de omgeving het zou kunnen maakt weinig uit, ze weten waarschijnlijk namelijk niet eens dat ze moeten vragen om dat te doen.
Fantasma7988
@StefanTs9 juni 2016 12:30
Ik zou er goed naast kunnen zitten maar lijkt me zelf wel vreemd als iemand een camera koopt en die zelf niet kan aansluiten of beveiligen.
Volgens mij staat er gewoon in de handleiding hoe je er een password op moet zetten.

Misschien moet een goede fabrikant dan maar eens een stukje software maken waarbij mensen makkelijk via een keuze menu alles netjes kunnen instellen.
Thirler
@Fantasma79889 juni 2016 12:46
Dit is precies hoe het met wifi routers ook fout is gegaan.

In de handleiding staat netjes met grote rode letters: Zet een wachtwoord op je router, dit doe je zo en zo. Vervolgens was het zo dat ongeveer 1 op de 5 wifi netwerken een wachtwoord had. Daarna gingen fabrikanten een default wachtwoord leveren, dus had je handige lijsten op internet met alle standaard SSID namen met daarbij alle account informatie (netwerk en admin toegang). Uiteindelijk werden default wachtwoorden 'random' gemaakt en op een sticker meegeleverd (met zo nu en dan nog de fout dat het wachtwoord af te leiden was uit het SSID).

Inmiddels hebben veel wifi fabrikanten dit netjes geregeld en nu zijn de connected devices aan de beurt met precies dezelfde fouten. (denk aan camera's die standaard aan internet hangen en scanners/printers die met default wachtwoorden te besturen zijn en nog 100 andere voorbeelden).

De moraal van dit verhaal: mensen lezen de handleiding niet en doen super weinig om updates te krijgen. Als alles aan internet hangt zal het automatisch moeten gaan updaten. (eventueel met een optie op het uit te zetten voor de mensen die wel weten wat ze doen).
kzin
@Fantasma79889 juni 2016 12:49
Helaas, StefanTS heeft gelijk. Niet alleen met deze camera, maar met veel IP-based camera´s. Je kunt zelfs google gebruiken om camera´s zonder password te vinden. Ik ga uiteraard geen zoekstring geven. Dat zijn niet alleen camera´s van personen, maar ook camera´s in bedrijven, beveiligingscamera´s. Die laatste kun je soms zelfs bedienen.

Kennenlijk beseft niet iedereen dat hun camera ook voor anderen toegangeklijk is.
WouterH
@Fantasma79889 juni 2016 13:00
In je handleiding van ziggo staat ook hoe je de password van je router veranderd in iets anders als ziggo/draadloos.
Ong 1 op de 100 mensen doet dit, maar ze kunnen het wel allemaal installeren en aansluiten.
Door het registeren van een product bij de leverancier kan er voor zorgen dat het nieuws over de update snel bij de gebruiker terrecht komt. helaas is het vaak de gebruiker die hier vrij weinig mee doet.

Het makkelijker updaten doormiddel van bv een update knop zou hierbij kunnen helpen.
Maar toch Ik vind het goed van D-link dat ze naar 5 jaar nog zo betrokken zijn bij een "budget" Wifi camera
cadsite
@Fantasma79889 juni 2016 13:09
Goh...
http://insecam.com

Een wachtzaal:
http://insecam.com/en/view/240163/

een huiskamer:
http://insecam.com/en/view/243851/

8-)

[Reactie gewijzigd door cadsite op 9 juni 2016 13:13]

NielsNL
@Fantasma79889 juni 2016 12:28
D-Link zou ook de exploit kunnen gebruiken om de update te pushen. Ik neem aan dat deze camera een soort call-home functie heeft, zodat D-Link de benodigde IP adressen heeft.

[Reactie gewijzigd door NielsNL op 9 juni 2016 12:30]

Bor
@NielsNL9 juni 2016 13:11
Het is maar de vraag of dit kan en bovendien is het moreel verwerpelijk en mogelijk zelfs strafbaar om een exploit te gebruiken om ongevraagd wijzigingen aan te brengen aan het device. Waarom zou een camera een call-home functie moeten hebben? Een dergelijke functie zou reden genoeg zijn voor veel mensen om dit product links te laten liggen vermoed ik.
NielsNL
@Bor9 juni 2016 13:57
Cisco doet dat ook ongewild met de EA4500 routers, firmware pushen. En zoiets is voor mij ook reden het product te laten liggen.
De Call-home functie wordt bijvoorbeeld gebruikt om je device te kunnen bereiken op 1234abcd.my-camera.org o.i.d. mits je uPnP aan hebt staan.
mjl
@NielsNL9 juni 2016 12:33
Nice, out of the box denken!
ArtGod
@Fantasma79889 juni 2016 12:52
Als je dit soort apparaten die je privacy totaal kunnen ontnemen niet 100% vrij van kwetsbaarheden kan maken dan moet je het niet op de markt brengen!

Aan de andere kant, consumenten kopen ook gewoon de goedkoopste rommel die ze kunnen krijgen en dan krijg je dit soort situaties.

Een andere fabrikant die z'n zaakjes wel op orde heeft maar iets meer kost zal waarschijnlijk ook niet meer verkopen,want je komt alleen in het nieuws als het niet goed gaat, niet als het wel goed gaat, dan hoor je er niemand over.

Dus ik denk dat dit soort zaken nog wel zullen blijven voortduren, in ieder geval totdat er een technologische oplossing komt die hacken onmogelijk maakt, zoals versleutelde executable code.

[Reactie gewijzigd door ArtGod op 9 juni 2016 13:05]

Fantasma7988
@ArtGod9 juni 2016 13:04
Helemaal gelijk jongens .
Ik had verwacht dat we ons ego aan de kant hadden gezet en een ieder een handleiding leest 😉
MaffeMaarten
9 juni 2016 12:18
Ondertussen is er trouwens een frimware 1.02 online: (is van vandaag, dus ik ga ervanuit dat het de betreffende problemen oplost.)
Sorry, niet goed gekeken, is van 9 mei.

Inderdaad zou zoiets wel default op automatisch upgraden moeten staan wat mij betreft. Er is zelfs iets voor te zeggen om een optie te hebben in de instellingen waarmee je toestemming geeft aan de fabriekant om zodra er een ernstige kwetsbaarheid is het apparaat uit te zetten, nog voordat de fix bestaat. Dan zet ik zelf m'n camera wel weer aan zodra ik hem bij kan werken.

[Reactie gewijzigd door MaffeMaarten op 9 juni 2016 12:21]

mjl
@MaffeMaarten9 juni 2016 12:32
Auto update is ook een risico, een gefaalde upgrade brickt het toestel wat weer meer garantie kosten met zich mee brengt.
Bor
9 juni 2016 13:15
Zie hier een van de grote gevaren van domotica en aanverwante zaken zoals camera's wanneer dit via het internet toegankelijk is. De impact is in dit geval direct bijzonder hoog. Je kunt met een exploit controle over het apparaat verkrijgen om bijvoorbeeld video en geluid te onderscheppen maar ook om minder zichtbaar aanwezig te blijven in het netwerk.

Ik zie om mij heen heel veel mensen die hun huis helemaal vol hangen met domotica zoals camera's sensoren en controllers. Maar erg weinig realiseren zich wat de impact dan is van een hack waarbij bijvoorbeeld toegang tot de systemen wordt verkregen.
telenut
9 juni 2016 13:27
Ik ken veel bedrijven waar ze gewoon de standaard login en wachtwoorden laten staan. Denk niet dat ze dan de firmware gaan updaten toch.
Sfynx
9 juni 2016 15:06
Met IoT wordt dit straks nog veel erger, dan heeft werkelijk alles een firmware die op een gegeven moment remote exploitable is, als dat niet bijgehouden wordt is het een kwestie van tijd dat iets gegarandeerd onveilig wordt. Makkelijk uitrolbare firmware updates met een signature check dat het van de fabrikant afkomstig is het minimale dat nodig is om het nog een beetje veilig te houden.

[Reactie gewijzigd door Sfynx op 9 juni 2016 15:08]

bartvbl
9 juni 2016 15:43
Tenminste hebben ze dit keer niet hun private key er in laten staan...
maxplanck
9 juni 2016 12:47
Kan er ook onwillekeurige code worden uitgevoerd?

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee