Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Gepatchte Samsung-ip-camera bevat nog steeds lek dat overname mogelijk maakt

Beveiligingsonderzoekers van het bedrijf Exploiteers hebben een lek gevonden in een Smartcam van Samsung, die een aanvaller het apparaat op afstand laat overnemen. Zij hadden Samung eerder al op de hoogte gesteld van kwetsbaarheden in zijn ip-camera's.

De kwetsbaarheid is aanwezig in het SNH-1011-model, maar mogelijk ook in andere modellen. De onderzoekers schrijven dat het lek in php-code aanwezig is, waardoor een aanvaller door middel van command injection willekeurige code op de camera kan uitvoeren. Hierdoor kan hij het apparaat overnemen en bijvoorbeeld toegang verkrijgen tot de beelden die de camera opneemt. De kwetsbare code is verantwoordelijk voor het updaten van de firmware via de zogenaamde iWatch-dienst. Omdat er geen input sanitation plaatsvindt, kan een aanvaller zelf een bestandsnaam kiezen voor een updatebestand, dat kwaadaardige commando's bevat. De webserver voert deze commando's vervolgens uit als root. De onderzoekers melden dat dit niet de eerste keer is dat deze cameralijn van Samsung kwetsbaar blijkt te zijn.

In een eerder onderzoek uit 2014 kwam naar boven dat het mogelijk was om op afstand code op de camera's uit te voeren en het beheerderswachtwoord te wijzigen. Toen Samsung op de hoogte werd gebracht van dit feit, besloot het om het gehele lokaal toegankelijke webinterface te verwijderen. Daardoor moesten gebruikers noodgedwongen inloggen via de SmartCloud-website van Samsung. Daarom kozen de onderzoekers er nu voor nog eens naar de ip-camera te kijken om te verifiëren dat de lekken waren gedicht. Dat bleek zo te zijn, met uitzondering van de kwetsbare php-code, die niet door Samsung was verwijderd.

Lekken in ip-camera's komen regelmatig voor. De onderzoeksorganisatie AV-Test publiceerde onlangs een veiligheidstest van acht verschillende ip-camera's. Daarbij behaalden camera's van Logitech, Netgear en MyFox het maximale aantal punten, de rest scoorde lager. Zo sturen sommige modellen bijvoorbeeld beelden onversleuteld door. Camera's met ondeugdelijke beveiliging maken ook onderdeel uit van het Mirai-botnet, dat voor een groot deel bestaat uit gehackte iot-apparaten. De Amerikaanse FTC diende onlangs een klacht in tegen D-Link omdat het bedrijf zijn ip-camera's niet voldoende zou beveiligen. De Taiwanese fabrikant wijst dit van de hand.
 

Demonstratie van een exploit van de kwetsbaarheid

Door

Nieuwsredacteur

31 Linkedin Google+

Reacties (31)

Wijzig sortering
Ik weet niet of we ip-camera's onder de vlag domotica kunnen scharen, maar het zijn is in ieder geval wel elektronica die in / om het huis te vinden is en op afstand te benaderen is.

Inmiddels is duidelijk dat een significant deel van deze apparatuur niet veilig is (lees: gemakkelijk te hacken). Wat is hier precies de oorzaak van?
Is dit echt luiheid van de producenten?
Of hebben ze de veiligheidsrisico's onderschat?
Of hebben ze het wel degelijk goed proberen dicht te timmeren, maar is dit niet goed gelukt?

edit:
Of, dat kan ook nog, maken de gebruikers er een potje van door slechte wachtwoorden of iets dergelijks te gebruiken?

[Reactie gewijzigd door MarvinJames op 18 januari 2017 11:30]

Luiheid, onwetendheid, onbenulligheid. Het interesseert ze bijna niet omdat het geld kost om goede mensen in te huren en ze hebben liever een paar goedkope IndiŽrs voor een habbekrats.

Tijd voor beperkte aansprakelijkheid bij beveiligingsfouten in software!

[Reactie gewijzigd door ArtGod op 18 januari 2017 12:09]

Samsung heeft wel vaker problemen met security dus ik reken er bij Samsung toch al niet op dat mijn data veilig is. (zie mobilesecurityares.blogspot.nl bijvoorbeeld). Ik vind het echter wel tof dat oa Logitech, een bedrijf dat ik wel als kwalitatief in orde zie, wel goed scoort.
Als ik zie dat zelfs in de installatiebranche van IP camera's veel installateurs niets doen aan het standaard wachtwoord, nog niet eens proberen het te veranderen. Dan kan de fabrikant vanalles inbouwen maar dan zal het nog steeds fout gaan. Kwaadwillenden zitten er zo in.

Nu ben ik sowieso van mening dat fabrikanten hun verantwoordelijkheid moeten nemen met het dichten van lekken. Dit zullen ze niet snel vanuit zichzelf doen, daarom moet er vanuit de overheid of een andere organisatie druk op gezet worden naar de fabrikanten toe. Dit niet alleen bij fabrikanten van IP camera's maar ook smartphones en andere artikelen die constant met het internet verbonden zijn.
Dan kan de fabrikant vanalles inbouwen maar dan zal het nog steeds fout gaan
Wat ze sowieso kunnen doen is niet elk apparaat hetzelfde wachtwoord geven maar gewoon een random wachtwoord zoals veel routers tegenwoordig hebben. Moeten ze natuurlijk wel zorgen dat het ook daadwerkelijk random is en het wachtwoord niet afgeleid is van iets zoals een MAC adres (of zoals die UPC routers waarbij je het wachtwoord kan achterhalen aan de hand van het (standaard) SSID)
[...]

Wat ze sowieso kunnen doen is niet elk apparaat hetzelfde wachtwoord geven maar gewoon een random wachtwoord zoals veel routers tegenwoordig hebben.
Waarom niet gewoon geen wachtwoord en verplicht instellen met een kabel voordat het werkt?

In de beveiliging: 'less is more'. Als je een willekeurig wachtwoord gebruikt, moet het dan ook opnieuw gegenereerd worden bij een reset naar factory defaults? Zo ja, hoe weet de gebruiker dan wat het nieuwe wachtwoord is? Zo nee, hoe wordt een random (maar vaste) waarde aan het apparaat gekoppeld?
Vaste, random waarde kan je ergens inflashen of je kan een hardware ID van 1 van de onderdelen gebruiken. Die zijn extern niet uit te lezen dus je moet al toegang tot het toestel hebben voordat je dat zou kunnen uitlezen.
Ja dat deed thomson (speedtouch routers) ook. We weten allemaal hoe goed dat is afgelopen.
Eerste boot alleen via kabel is veiliger, maar compleet onpraktisch. Wat betreft je tweede argument: de meeste routers lijken dat prima opgelost te hebben met het stickertje op de achterkant. Misschien moet je die sticker niet zichtbaar op de camera plakken ;) maar zou verder toch echt geen probleem moeten zijn.
En als je nu security cams eens alleen aan het private -airgapped network zou hangen,
zou dat ook al niet helpen !
Je kunt het een kwetsbaarheid noemen of een mogelijkheid tot crowsourced devicemanagement uit de cloud.
Je kunt het een kwetsbaarheid noemen of een mogelijkheid tot crowsourced devicemanagement uit de cloud.
Haha, it's not a bug, it's a feature...

Al die iot devices gaan nog voor veel ambras zorgen, hoog tijd dat er een wettelijk kader komt zodat we fabrikanten kunnen aansprakelijk stellen voor hun gebrekkige beveiliging.
Dit heeft niks met IoT te maken vind ik, sterker nog: er is geen internet of things. Er is internet.

Apparaten op internet moeten veilig zijn. Of ze nou groot, duur en snel zijn, of dingen van een paar cent op batterijen.
Er is wel IoT. De definitie (heel kort samengevat) is ieder apparaat dat autonoom verbinding maakt met het internet zonder tussenkomst van de gebruiker nadat het is aangesloten en geconfigureerd. In de ruimste zin van het woord verzamelt het apparaat data d.m.v. sensoren en communiceert via IP. Het begrip smart devices komt ook voor en is in feite hetzelfde.
Dus zeg maar elk apparaat op internet, het enige internet dat de wereld kent?
Je zegt dat IoT niet bestaat en ik geef aan dat dit wel bestaat. Dit staat even los dat er via internet wordt gecommuniceerd. Lees nog even de definitie.
Zo kun je alle lekken wel omschrijven haha. Ons netwerk is niet open, het wordt gemanaged dmv crowdsourcing. Net als sommige open-source pakketten
So, en ALWEER een clickbait headline welke doet suggereren dat een patch die net beschikbaar is geweest toch weer een lek blijkt te hebben, dat was in iedergeval de reden waarom ik naar het artikel ging kijken. Maar nergens in het artikel zie je daar iets over terug.. gaat lekker hier met sensationalisering van artikelen.
Dat lees ik toch uit het artikel: er was een lek geconstateerd, het zou opgelost zijn en nu zijn er toch nog problemen. Of zie ik het nu verkeerd?
AV-Test kun je niet al te serieus nemen, als ze kans zien om Axis/Canon en Panasonic in hun test te missen.
Klopt, maar dat neemt niet weg dat ze op zich wel mooie producten leveren..

En zelfs iemand die niet primair kiest voor veiligheid, zou niet een lek product moeten hebben.. Dus denk dat het 'kiezen' voor veiligheid in dit geval er weinig mee te maken heeft.
Verder zou veiligheid geen keuze moeten zijn, maar een voorwaarde: je kunt de consequenties van onveilige producten niet overzien.
Is een product waarbij de veiligheid niet in orde is nog wel een deugdelijk product?

"In de Nederlandse wet staat dat het product dat u koopt 'deugdelijk' moet zijn."
Grote probleem hier is dat je met software te maken hebt en software bevat nu eenmaal bugs. Zolang het toestel doet wat het beloofd op de manier waarop het beloofd werd kan je bijna niet anders dan van een deugdelijk product spreken.
Een product dat qua veiligheid niet op orde is vind ik per definitie niet mooi (welk merk dan ook).
Dat kan maar wat heeft dat er mee te maken? Het ging om een statement wat gemaakt werd dat iets algemeen (dus niet jij of ik maar min of meer iedereen) bekend is. En mensen er er dus bewust voor zouden kiezen onveilig te zijn...

En DutchKevv geeft daar gewoon op aan dat dat dus algemeen helemaal niet bekend is, en er dan dus ook geen bewuste keuze word gemaakt voor (on)veiligheid!
Dank, dat bedoelde ik er mee idd..

Iedereen kiest namelijk voor veiligheid in een bepaalde mate, en tuurlijk zal een apparaat van 10.000,- veiliger zijn dan iets van 10,-.. Maar om nou te zeggen dat Samsung per definitie onveilig is vind ik de plank mis slaan..

Je moet dan simpelweg een andere prijscategorie pakken, want zo'n cheap-ass camera van een cheap-ass winkel zullen 'nog' onveiliger zijn..

Vandaar dat: 'het kiezen voor veiligheid in dit geval er weinig mee te maken heeft' ook slaat op dat niks van die prijsklasse een NASA certificaat heeft aan veiligheid.

[Reactie gewijzigd door DutchKevv op 18 januari 2017 12:20]

Op dit item kan niet meer gereageerd worden.


Apple iPhone X Google Pixel 2 XL LG W7 Samsung Galaxy S9 Google Pixel 2 Far Cry 5 Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*