Gepatchte Samsung-ip-camera bevat nog steeds lek dat overname mogelijk maakt

Beveiligingsonderzoekers van het bedrijf Exploiteers hebben een lek gevonden in een Smartcam van Samsung, die een aanvaller het apparaat op afstand laat overnemen. Zij hadden Samung eerder al op de hoogte gesteld van kwetsbaarheden in zijn ip-camera's.

De kwetsbaarheid is aanwezig in het SNH-1011-model, maar mogelijk ook in andere modellen. De onderzoekers schrijven dat het lek in php-code aanwezig is, waardoor een aanvaller door middel van command injection willekeurige code op de camera kan uitvoeren. Hierdoor kan hij het apparaat overnemen en bijvoorbeeld toegang verkrijgen tot de beelden die de camera opneemt. De kwetsbare code is verantwoordelijk voor het updaten van de firmware via de zogenaamde iWatch-dienst. Omdat er geen input sanitation plaatsvindt, kan een aanvaller zelf een bestandsnaam kiezen voor een updatebestand, dat kwaadaardige commando's bevat. De webserver voert deze commando's vervolgens uit als root. De onderzoekers melden dat dit niet de eerste keer is dat deze cameralijn van Samsung kwetsbaar blijkt te zijn.

In een eerder onderzoek uit 2014 kwam naar boven dat het mogelijk was om op afstand code op de camera's uit te voeren en het beheerderswachtwoord te wijzigen. Toen Samsung op de hoogte werd gebracht van dit feit, besloot het om het gehele lokaal toegankelijke webinterface te verwijderen. Daardoor moesten gebruikers noodgedwongen inloggen via de SmartCloud-website van Samsung. Daarom kozen de onderzoekers er nu voor nog eens naar de ip-camera te kijken om te verifiëren dat de lekken waren gedicht. Dat bleek zo te zijn, met uitzondering van de kwetsbare php-code, die niet door Samsung was verwijderd.

Lekken in ip-camera's komen regelmatig voor. De onderzoeksorganisatie AV-Test publiceerde onlangs een veiligheidstest van acht verschillende ip-camera's. Daarbij behaalden camera's van Logitech, Netgear en MyFox het maximale aantal punten, de rest scoorde lager. Zo sturen sommige modellen bijvoorbeeld beelden onversleuteld door. Camera's met ondeugdelijke beveiliging maken ook onderdeel uit van het Mirai-botnet, dat voor een groot deel bestaat uit gehackte iot-apparaten. De Amerikaanse FTC diende onlangs een klacht in tegen D-Link omdat het bedrijf zijn ip-camera's niet voldoende zou beveiligen. De Taiwanese fabrikant wijst dit van de hand.

Demonstratie van een exploit van de kwetsbaarheid

Door Sander van Voorst

Nieuwsredacteur

Feedback • 18-01-2017 10:3031

18-01-2017 • 10:30

31 Linkedin

Lees meer

Onderzoekers vinden twintig kwetsbaarheden in SmartThings Hub van Samsung Nieuws van 26 juli 2018
'Lek in gSOAP-softwarebibliotheek maakt veel iot-apparaten kwetsbaar' Nieuws van 19 juli 2017
Lekken in Foscam-ip-camera's laten aanvaller apparaat overnemen - update Nieuws van 7 juni 2017
BrickerBot-malware maakt iot-apparaten vrijwel onbruikbaar Nieuws van 7 april 2017
'Patch blijft uit voor lekken die Nest-camera's kunnen laten crashen' Nieuws van 21 maart 2017
Mogelijk miljoenen Netgear-routers bevatten kwetsbaarheid - update Nieuws van 31 januari 2017
FTC dient klacht tegen D-Link in om onveilige ip-camera's en routers Nieuws van 6 januari 2017
Tachtig Sony ip-camera-modellen bevatten debugging backdoor Nieuws van 7 december 2016
Update voor Raspberry Pi-os Raspbian schakelt ssh standaard uit Nieuws van 1 december 2016
Ddos-aanval op dns-provider Dyn werd uitgevoerd met Mirai-botnet Nieuws van 22 oktober 2016
Onderzoekers vinden lek dat overnemen D-Link-wificamera mogelijk maakt Nieuws van 9 juni 2016
Nest presenteert eerste beveiligingscamera Cam Nieuws van 17 juni 2015
Meer producten en artikelen
Netwerk en systeembeheer Bewakingscamera's Samsung Security

Reacties (31)

-Moderatie-faq
31
27
14
1
0
8
Wijzig sortering
MarvinJames
18 januari 2017 11:20
Ik weet niet of we ip-camera's onder de vlag domotica kunnen scharen, maar het zijn is in ieder geval wel elektronica die in / om het huis te vinden is en op afstand te benaderen is.

Inmiddels is duidelijk dat een significant deel van deze apparatuur niet veilig is (lees: gemakkelijk te hacken). Wat is hier precies de oorzaak van?
Is dit echt luiheid van de producenten?
Of hebben ze de veiligheidsrisico's onderschat?
Of hebben ze het wel degelijk goed proberen dicht te timmeren, maar is dit niet goed gelukt?

edit:
Of, dat kan ook nog, maken de gebruikers er een potje van door slechte wachtwoorden of iets dergelijks te gebruiken?

[Reactie gewijzigd door MarvinJames op 18 januari 2017 11:30]

ArtGod
@MarvinJames18 januari 2017 12:09
Luiheid, onwetendheid, onbenulligheid. Het interesseert ze bijna niet omdat het geld kost om goede mensen in te huren en ze hebben liever een paar goedkope Indiërs voor een habbekrats.

Tijd voor beperkte aansprakelijkheid bij beveiligingsfouten in software!

[Reactie gewijzigd door ArtGod op 18 januari 2017 12:09]

Xerxes249
@MarvinJames18 januari 2017 12:45
Samsung heeft wel vaker problemen met security dus ik reken er bij Samsung toch al niet op dat mijn data veilig is. (zie mobilesecurityares.blogspot.nl bijvoorbeeld). Ik vind het echter wel tof dat oa Logitech, een bedrijf dat ik wel als kwalitatief in orde zie, wel goed scoort.
Mollos_
18 januari 2017 11:04
Als ik zie dat zelfs in de installatiebranche van IP camera's veel installateurs niets doen aan het standaard wachtwoord, nog niet eens proberen het te veranderen. Dan kan de fabrikant vanalles inbouwen maar dan zal het nog steeds fout gaan. Kwaadwillenden zitten er zo in.

Nu ben ik sowieso van mening dat fabrikanten hun verantwoordelijkheid moeten nemen met het dichten van lekken. Dit zullen ze niet snel vanuit zichzelf doen, daarom moet er vanuit de overheid of een andere organisatie druk op gezet worden naar de fabrikanten toe. Dit niet alleen bij fabrikanten van IP camera's maar ook smartphones en andere artikelen die constant met het internet verbonden zijn.
Heedless
@Mollos_18 januari 2017 11:56
Dan kan de fabrikant vanalles inbouwen maar dan zal het nog steeds fout gaan
Wat ze sowieso kunnen doen is niet elk apparaat hetzelfde wachtwoord geven maar gewoon een random wachtwoord zoals veel routers tegenwoordig hebben. Moeten ze natuurlijk wel zorgen dat het ook daadwerkelijk random is en het wachtwoord niet afgeleid is van iets zoals een MAC adres (of zoals die UPC routers waarbij je het wachtwoord kan achterhalen aan de hand van het (standaard) SSID)
The Zep Man
@Heedless18 januari 2017 12:05
[...]

Wat ze sowieso kunnen doen is niet elk apparaat hetzelfde wachtwoord geven maar gewoon een random wachtwoord zoals veel routers tegenwoordig hebben.
Waarom niet gewoon geen wachtwoord en verplicht instellen met een kabel voordat het werkt?

In de beveiliging: 'less is more'. Als je een willekeurig wachtwoord gebruikt, moet het dan ook opnieuw gegenereerd worden bij een reset naar factory defaults? Zo ja, hoe weet de gebruiker dan wat het nieuwe wachtwoord is? Zo nee, hoe wordt een random (maar vaste) waarde aan het apparaat gekoppeld?
Blokker_1999
@The Zep Man18 januari 2017 12:09
Vaste, random waarde kan je ergens inflashen of je kan een hardware ID van 1 van de onderdelen gebruiken. Die zijn extern niet uit te lezen dus je moet al toegang tot het toestel hebben voordat je dat zou kunnen uitlezen.
supersnathan94
@Blokker_199918 januari 2017 18:03
Ja dat deed thomson (speedtouch routers) ook. We weten allemaal hoe goed dat is afgelopen.
Heedless
@The Zep Man18 januari 2017 12:27
Eerste boot alleen via kabel is veiliger, maar compleet onpraktisch. Wat betreft je tweede argument: de meeste routers lijken dat prima opgelost te hebben met het stickertje op de achterkant. Misschien moet je die sticker niet zichtbaar op de camera plakken ;) maar zou verder toch echt geen probleem moeten zijn.
PaulC
18 januari 2017 12:16
En als je nu security cams eens alleen aan het private -airgapped network zou hangen,
zou dat ook al niet helpen !
zovty
18 januari 2017 10:33
Je kunt het een kwetsbaarheid noemen of een mogelijkheid tot crowsourced devicemanagement uit de cloud.
Kefke
@zovty18 januari 2017 10:51
Je kunt het een kwetsbaarheid noemen of een mogelijkheid tot crowsourced devicemanagement uit de cloud.
Haha, it's not a bug, it's a feature...

Al die iot devices gaan nog voor veel ambras zorgen, hoog tijd dat er een wettelijk kader komt zodat we fabrikanten kunnen aansprakelijk stellen voor hun gebrekkige beveiliging.
zovty
@Kefke18 januari 2017 12:12
Dit heeft niks met IoT te maken vind ik, sterker nog: er is geen internet of things. Er is internet.

Apparaten op internet moeten veilig zijn. Of ze nou groot, duur en snel zijn, of dingen van een paar cent op batterijen.
sun0000
@zovty18 januari 2017 12:25
Er is wel IoT. De definitie (heel kort samengevat) is ieder apparaat dat autonoom verbinding maakt met het internet zonder tussenkomst van de gebruiker nadat het is aangesloten en geconfigureerd. In de ruimste zin van het woord verzamelt het apparaat data d.m.v. sensoren en communiceert via IP. Het begrip smart devices komt ook voor en is in feite hetzelfde.
zovty
@sun000018 januari 2017 12:56
Dus zeg maar elk apparaat op internet, het enige internet dat de wereld kent?
sun0000
@zovty18 januari 2017 18:25
Je zegt dat IoT niet bestaat en ik geef aan dat dit wel bestaat. Dit staat even los dat er via internet wordt gecommuniceerd. Lees nog even de definitie.
Mar.tin
@zovty18 januari 2017 10:37
Zo kun je alle lekken wel omschrijven haha. Ons netwerk is niet open, het wordt gemanaged dmv crowdsourcing. Net als sommige open-source pakketten
SuperDre
18 januari 2017 13:42
So, en ALWEER een clickbait headline welke doet suggereren dat een patch die net beschikbaar is geweest toch weer een lek blijkt te hebben, dat was in iedergeval de reden waarom ik naar het artikel ging kijken. Maar nergens in het artikel zie je daar iets over terug.. gaat lekker hier met sensationalisering van artikelen.
Anoniem: 287804
@SuperDre18 januari 2017 15:59
Dat lees ik toch uit het artikel: er was een lek geconstateerd, het zou opgelost zijn en nu zijn er toch nog problemen. Of zie ik het nu verkeerd?
MSalters
18 januari 2017 15:46
AV-Test kun je niet al te serieus nemen, als ze kans zien om Axis/Canon en Panasonic in hun test te missen.
DutchKevv
@Frustus Maximus18 januari 2017 10:38
Klopt, maar dat neemt niet weg dat ze op zich wel mooie producten leveren..

En zelfs iemand die niet primair kiest voor veiligheid, zou niet een lek product moeten hebben.. Dus denk dat het 'kiezen' voor veiligheid in dit geval er weinig mee te maken heeft.
Videopac
@DutchKevv18 januari 2017 10:57
Verder zou veiligheid geen keuze moeten zijn, maar een voorwaarde: je kunt de consequenties van onveilige producten niet overzien.
Byron010
@Videopac18 januari 2017 11:04
Is een product waarbij de veiligheid niet in orde is nog wel een deugdelijk product?

"In de Nederlandse wet staat dat het product dat u koopt 'deugdelijk' moet zijn."
Blokker_1999
@Byron01018 januari 2017 12:11
Grote probleem hier is dat je met software te maken hebt en software bevat nu eenmaal bugs. Zolang het toestel doet wat het beloofd op de manier waarop het beloofd werd kan je bijna niet anders dan van een deugdelijk product spreken.
Videopac
@DutchKevv18 januari 2017 10:55
Een product dat qua veiligheid niet op orde is vind ik per definitie niet mooi (welk merk dan ook).
watercoolertje
@Videopac18 januari 2017 11:06
Dat kan maar wat heeft dat er mee te maken? Het ging om een statement wat gemaakt werd dat iets algemeen (dus niet jij of ik maar min of meer iedereen) bekend is. En mensen er er dus bewust voor zouden kiezen onveilig te zijn...

En DutchKevv geeft daar gewoon op aan dat dat dus algemeen helemaal niet bekend is, en er dan dus ook geen bewuste keuze word gemaakt voor (on)veiligheid!
DutchKevv
@watercoolertje18 januari 2017 12:16
Dank, dat bedoelde ik er mee idd..

Iedereen kiest namelijk voor veiligheid in een bepaalde mate, en tuurlijk zal een apparaat van 10.000,- veiliger zijn dan iets van 10,-.. Maar om nou te zeggen dat Samsung per definitie onveilig is vind ik de plank mis slaan..

Je moet dan simpelweg een andere prijscategorie pakken, want zo'n cheap-ass camera van een cheap-ass winkel zullen 'nog' onveiliger zijn..

Vandaar dat: 'het kiezen voor veiligheid in dit geval er weinig mee te maken heeft' ook slaat op dat niks van die prijsklasse een NASA certificaat heeft aan veiligheid.

[Reactie gewijzigd door DutchKevv op 18 januari 2017 12:20]

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee