×

Help Tweakers weer winnen!

Tweakers is dit jaar weer genomineerd voor beste nieuwssite, beste prijsvergelijker en beste community! Laten we ervoor zorgen dat heel Nederland weet dat Tweakers de beste website is. Stem op Tweakers en maak kans op mooie prijzen!

Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Foscam reageert op berichten over lekken in ip-camera en brengt patch uit

Door , 39 reacties

Foscam heeft gereageerd op de kwetsbaarheden die beveiligingsbedrijf F-Secure in zijn ip-camera vond. Het bedrijf claimt niet op de hoogte te zijn van misbruik van de lekken en heeft een patch beschikbaar gesteld.

In een uitgebreide reactie gaat het bedrijf in op de analyse die het Finse F-Secure ongeveer een week geleden publiceerde. Het beveiligingsbedrijf claimde dat het een poging had ondernomen om Foscam op de hoogte te stellen, maar het Chinese bedrijf liet toen in een reactie weten dat het niet benaderd was. In totaal vond F-Secure achttien kwetsbaarheden, die een aanvaller een apparaat lieten overnemen. Een woordvoerder van de Nederlandse Foscam-importeur laat aan Tweakers weten dat het bedrijf de patch naar F-Secure heeft gestuurd en een 'gesprek op technisch vlak' is aangegaan.

In zijn reactie stelt Foscam dat het bij de gevonden lekken om 'minor issues' gaat. Over het gebruik van een standaardaccount zegt het bedrijf bijvoorbeeld dat de camera niet online te gebruiken is zonder de inloggegevens aan te passen. De patch lost een aantal problemen op. Bijvoorbeeld door een voorgeprogrammeerd ftp-account te verwijderen, een standaardaccount voor de webinterface uit te schakelen en verborgen telnettoegang weg te halen. Daarnaast schakelt de update het zogenaamde Onvif-account standaard uit, dat volgens Foscam 'geen bijzonder beveiligingsrisico met zich meebracht'.

F-Secure schreef hierover dat het via Onvif mogelijk was om op afstand code uit te voeren en daarnaast beheerdersgegevens te achterhalen. Foscam bestrijdt dit en schrijft dat het niet mogelijk was om via deze weg 'devicemgmt' en 'GetDNS' aan te roepen, wat nodig is voor roottoegang. Dit zou het geval zijn sinds 2016, toen enkele beveiligingsverbeteringen werden doorgevoerd. Gebruikers die Onvif toch willen gebruiken, bijvoorbeeld voor gebruik met sommige digitale videorecorders, kunnen dit handmatig inschakelen.

F-Secure onderzocht de Foscam C2-camera en de Opticam i5, die alleen door het Chinese bedrijf wordt gefabriceerd en onder een andere naam wordt verkocht. In de analyse schreef F-Secure dat het op basis van zijn bevindingen mogelijk is dat de lekken ook in andere ip-camera's van Foscam aanwezig zijn. Foscam zegt niet voor welke camera's er nieuwe firmware is uitgekomen.

Uit de downloadsite blijkt dat er sinds woensdag nieuwe firmware beschikbaar is voor de FI9900P, FI9961EP, C2, FI9821EP, FI9803EP, FI9803P, FI9826P V2, FI9851P, FI9853EP, FI9821P V2, FI9901EP, FI9831P, FI9831P V2 en R2. Of dit betekent dat al deze modellen de kwetsbaarheden bevatten, is onduidelijk. Updates zijn ook mogelijk via de Foscam-app, aldus de fabrikant.

Door Sander van Voorst

Nieuwsredacteur

15-06-2017 • 15:23

39 Linkedin Google+

Reacties (39)

Wijzig sortering
Welke IP camera's zijn wel veilig? Ik hoor alleen verhalen over lekken in dit soort camera's. Waarschijnlijk is de enige veilige optie om zelf de data uit te lezen en te bewaren zonder telefoon apps en verbinding naar buiten.

[Reactie gewijzigd door basseytje op 15 juni 2017 15:25]

Ik denk dat het slimmer is om zulke camera's alleen vanaf LAN te laten benaderen, denk dat ze niet veilig genoeg zijn over het algemeen. :)
Ik denk zowiezo dat je client apparaten per definitie niet moet vertrouwen en gewoon een degelijke firewall moet hebben.

Remote access doe je maar over VPN of SSH met alle veilige opties die aangeraden worden.
In een wereld waar VPN netwerken redelijk normaal zijn geworden, snap ik sowieso niet waarom die dingen nog publiek toegankelijk zijn. Waarom zulk soort apparaten (inclusief NAS, VNC etc) nog aan het publieke internet hangen is mij een raadsel.

Wellicht omdat mensen steeds meer zelf kopen en installeren en vervolgens denken dat ze met een app en een netwerk kabel goed zitten, want ze hebben immers een product gekocht?

[Reactie gewijzigd door foekie01 op 15 juni 2017 15:34]

Die heb ik allemaal, beschikbaar via een VPN, zodat ik altijd "intern" ben, waar ik ook zit. 't Punt is dat wij wel snappen hoe dat moet, maar dat Jan Diehiernaastwoont geen idee heeft en waarschijnlijk allang blij is dat het werkt. Laat staan dat hij nadenkt dat anderen er OOK bij kunnen.

Op een andere thread werd ik uitgefoeterd dat ik voorstander was van "alles dicht" en dan - veilig - openzetten wat nodig is. De stemming daar was: "Klanten willen dat niet". Tegen zoveel domheid kan ik dan in mijn eendje (fun intended) niet op, dat lijkt de nieuwe werkelijkheid te zijn of worden. Wettelijk verbod op "open" zeg ik dan en een maandomzet boete als blijkt dat een leverancier/importeur zich er niet aan houdt.

[Reactie gewijzigd door Houtenklaas op 15 juni 2017 15:45]

Het is om dat de wenst voor bepaalde functionaliteit groter is geworden maar de IT kennis niet. Iedereen denkt dat het wel zal lukken, maar in zo veel specialistische gebieden is het gebrek aan kennis nagenoeg altijd wel een probleem. Vaak snappen mensen ook niet dat het geen sent-and-forget installatie is, en dat het feit het werkt niet meteen betekent dat het goed werkt en veilig werkt. De algehele kwaliteitseis is ook een beetje weg in de maatschappij, zolang het niet duur is en je niet direct dood gaat is alles eigenlijk 'goed genoeg' om te gebruiken/kopen/consumeren. Alleen als iets wettelijk geregeld is en de pakkans groot is wordt er nog wat 'goed' gedaan lijkt het.
Zorg er gewoon voor dat jij er alleen via een VPN bij kan en de reut intern op je eigen netwerk blijft. Dan ben je niet afhankelijk van de grollen van zo'n leverancier. Sowieso goed om dit soort risico's te mitigeren. VPN's zijn tegenwoordig aardig afgetimmerd en veel routers ondersteunen dat ook keurig vanuit hun eigen firmware of - liever - vanuit ddWRT waar de gemeenschap meekijkt in de software. Dus eerst een VPN opzetten vanuit je remote device en daarna pas je camera aanspreken.
Gaat dit verhaal op wat jullie zeggen?

De FOSCAM camera's leggen direct verbinding met de Foscam servers en zorgen zelf dat uPnP toegepast wordt om zodoende de camera overal ter wereld te kunnen bereiken.

Voor de gemiddelde gebruiker is het al heel ingewikkeld om uPnP uit te zetten.
Ik heb de handleiding even vlug nagelezen, ja dat kan inderdaad. Vanaf het LAN kan je dat ding over IP benaderen. En dat kan dus ook met een VPN omdat je dan tot het LAN behoort. En het kan dan OOK via het WAN, met IP portforwarding, alleen gaan mensen met wat minder kennis de service van Foscam gebruiken omdat je dan niet je eigen WAN IP adres hoeft te weten.

Begin met een ISP te nemen met een hard - eigen - IP adres, dan wordt het leven een stuk simpeler ...
Hoeveel ISP's bieden consumenten tegenwoordig nog een vast IP adres? En hoeveel van die ISP's bieden overal in Nederland een fatsoenlijk snelle verbinding?
XS4ALL, Ziggo Zakelijk heeft ook wat te kiezen ...
Kpn ook, atlans bij hun fiber pakketten.
Ik vind dat niet echt een vereiste, dat vaste ip adres. Als je toch al "verstand" hebt van een vpn opzetten, dan lukt dat een-keer-in-de-zoveel-tijd de vpn instellingen van mijn telefoon aanpassen ook wel.
[IMG]http://i68.tinypic.com/2q9we3m.jpg[/IMG]

Mijn synology diskstation van 7 jaar oud handelt trouwens het opnemen van de beelden en het vpn af. Een ideale combinatie voor ons, en ook niet moeilijk in te stellen.

Edit: ik dacht dat de tags zouden werken, maar post hier te weinig om het plaatje meteen zichtbaar te krijgen. Excuses.

[Reactie gewijzigd door Sjnarruf op 15 juni 2017 17:47]

Of DDNS, maar het ging juist om de mensen die net wat minder technische cellen hebben ... Ik gebruik zelf bij wat mensen om me heen een DDNS service omdat ze een provider hebben die af en toe een IP nummer ververst, dat werkt ook top.
camera's via WIFI vertrouw ik sowieso niet echt, vaste kabel of via vpn is nog altijd safer.


edit: wifi ipv IP

[Reactie gewijzigd door mugen4u op 15 juni 2017 15:48]

ik neem aan dat je WiFi bedoeld? Elke camera die aangesloten is op jouw netwerk heeft een IP.
ja ik bedoelde idd wifi.
Alleen ben ik nog geen IPX/SPX of VIP camera's tegengekomen |:(

Toegeven, om dit te snappen moet je minstens een paar grijze haren hebben O-)
Of kaal zoals ik...
Haha nice, ik ben oud aan het worden :)
Ze downplayen het lek gewoon onder de noemer "minor issues" terwijl er naar mijn idee toch wel sprake is van een redelijk probleem wanneer er dit soort lekken zijn.
Tja Chinees bedrijf dit hebben helaas nog andere mentaliteit en nemen dit niet echt serieus d.w.z ze brengen schijnbaar wel patches uit maar doen alsof er niets aan de hand is.
Als je software een complete hoop koeienuitwerpselen is, wat in mijn ogen bij al die cams het geval is, dan is het uitschakelen van functies een logische 'oplossing'. Al die webcam bouwers moeten gewoon eens om te tafel en een openwrt-achtig stukje software laten ontwikkelen. Weg met al die knullige CGI scripts zonder enige input validatie, onder het mom dat je 'er toch niet zonder login bij kan'.
Nette omschrijving ook bij de update voor mijn cam:
Updated version: 2.x.2.43

What is new?
Fixed the security issues reported by F-secure
Ik vraag me af hoe het zit met de modellen die niet geüpdated worden. Ik heb zelf een 9903P en die kan ik zelfs niet op de website vinden. Enkel een Google-zoekopdracht brengt me op een informatiepagina, maar daar staan geen downloads. Misschien toch maar eens gaan kijken naar een ander merk :/
lijkt toch minstens 1 update beschikbaar te zijn als ik op de Nederlandse site van Foscam kijk (https://www.foscam.nl/ind.../view/u/FI9903P_Firmware/)
Die firmware-update is van meer dan een jaar geleden (mei 2016). Dus terwijl er webcams uit dezelfde serie (9xxx) en tijd wel patches hebben gekregen heeft de 9903P dat niet? Vreemd.
zelf heb ik een chinese ip camera die enkel bekebeld aangesloten zit.
daarnaast een nas die alles registreerd en een appje op mijn telefoon die zich aanmeld bij de nas, hierna zijn de beelden op te halen via de nas.
daarnaast ingesteld dat als iemand binnen een x aantal tijd een x aantal keer probeert aan te melden dat dan het wan-ip geblokkeerd word.
ook ingesteld dat alle ip's vanuit nl de mogelijkheid krijgen om aan te melden, maar ip's vanuit andere landen niet.
zodra ik op vakantie ga zet ik mijn vakantieland er tijdelijk bij.

de geblokkeerde ip-lijst sync ik 2 a 3 keer per jaar met 2 andere nassen van hetzelfde merk.
1.11.1.8_2.71.1.48 is de nieuwe versie, via wifi is de cam firmware geupdated. Twee bin files, stap 1 reboot stap2 reboot cam. Werkt weer goed, alleen de naam/pass opnieuw inkloppen. Ik gebruik altijd http://km7341.myfoscam.org:49555/ op de Windows 10 laptop. Met IE64 werkt het niet (volgens Foscam)
Ik heb de R2 V1 cam was wel even uitzoeken maar het werkt nu prima, zowel op de laptop als op de Android app. Software werkt ook goed. Er zijn ook vele andere progs en apps die Foscam ondersteunen. Wil je streaming beeld en geluid laten opslaan op een externe webserver kost dat meestal geld. Ik gebruik de huiscam niet voor bewakingsdoeleinden, maar gewoon voor de lol.

[Reactie gewijzigd door RAAF12 op 15 juni 2017 19:47]

Toevallig anderhalve week terug een IpCam van Foscam gekocht. Alles draait inmiddels en ook de interface naar internet opengezet zodat ik deze kan opvragen als ik niet thuis ben (niet via UPnP).
Ik weet dat ik hier niet helemaal veilig mee ben. Enkel de HTTPS-verbinding opengezet. Het zou ook wel fijn zijn als het wachtwoord dat je kunt opgeven niet beperkt is tot een aantal karakters en een beperkte set aan karakters naast a-z 0-9.
Welk type heb je? Je kan sowieso die firmware update van Foscam even draaien. Cams zijn in huis situaties natuurlijk privacy gevoelig. Maar een berg kranten voor de deur is ook uitnodiging voor inbrekers. Dat vind ik belangrijker om op te letten dan een ip webcam helemaal dicht te timmeren.
Ik heb een FI9900P. Na aankoop direct laatste firmware geinstalleerd en, na dit bericht, opnieuw de laatste.
Foscam maakt best goede camera's, maar de software is al jaren lang erg brak. Dit is in de reviews in de Pricewatch ook goed te zien.
Op een Mac werkt de software alleen met Safari. Je moet het venster klein maken, dan omhoog scrollen, anders werkt de applicatie niet. (Seriously! No kidding!) Op een iPad is het erg lastig om door de reclame voor hun ongewenste cloud dienst heen te komen. Mijn camera heeft ethernet en wifi maar instellen moet via ethernet gebeuren. Het is gewoon een bak ellende om alles aan de praat te krijgen. Gelukkig... eens het allemaal werkt is het best een prima ding. (Het is een FI9900P.) De bewegingsdetectie werkt goed, maakt filmpjes en stuurt email met goede beelden. Een firmware update is erg lastig om met de brakke software uit te voeren. Ik hoop dan ook maar dat het achter mijn router/firewall niet nodig is.

Op dit item kan niet meer gereageerd worden.


Apple iPhone X Google Pixel 2 XL LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*