Consumentenbond roept Foscam-gebruikers op camerasoftware te updaten na lekken

De Nederlandse Consumentenbond heeft gebruikers van Foscam-camera's opgeroepen een update van de software uit te voeren, nadat er verschillende lekken zijn vastgesteld die het op afstand overnemen van de camera's mogelijk maken.

De Consumentenbond publiceert de oproep nadat een beveiligingsbedrijf, genaamd VDOO, vorige maand al had gewaarschuwd voor lekken die 55 cameramodellen kwetsbaar maken voor overname op afstand. De Consumentenbond zegt zelf vervolgens lekken te hebben aangetroffen in de babycamera Fosbaby en de P1-variant van dit model. Een overzicht is op de site van de bond te vinden. Onder dit bericht is een overzicht geplaatst met de nodige links naar de updates die Foscam halverwege mei heeft uitgebracht.

Deze zijn volgens de Consumentenbond echter onvoldoende onder de aandacht gebracht en worden bovendien niet automatisch geïnstalleerd, waardoor actie van gebruikers is vereist. De bond schrijft: "Foscam wijst gebruikers via een melding in hun app op de beschikbaarheid van de update, maar deze notificatie is verstopt en klein. Bovendien wordt een vergelijkbare vormgeving gebruikt voor andere meldingen, zoals marketingberichten." De organisatie zegt dat Foscam na aandringen heeft toegezegd de update beter onder de aandacht te brengen.

Het is niet de eerste keer dat er lekken in de producten van Foscam zijn vastgesteld. Zo vond beveiligingsbedrijf F-Secure ongeveer een jaar geleden achttien lekken die aanvallers eveneens apparaten lieten overnemen. Foscam bracht patches uit en kwam met een reactie.

C1 Lite V3	2.82.2.33
C1 V3	2.82.2.33
FI9800P V3	2.84.2.33
FI9803P V4	2.84.2.33
FI9816P V3	2.81.2.33
FI9821EP V2	2.81.2.33
FI9821P V3	2.81.2.33
FI9826P V3	2.81.2.33
FI9831P V3	2.81.2.33
FI9851P V3	2.84.2.33
FI9853EP V2	2.84.2.33
C1	2.52.2.47
C1 V2	2.52.2.47
C1 Lite	2.52.2.47
C1 Lite V2	2.52.2.47
FI9800P	2.54.2.47
FI9800P V2	2.54.2.47
FI9803P V2	2.54.2.47
FI9803P V3	2.54.2.47
FI9815P	2.51.2.47
FI9815P V2	2.51.2.47
FI9816P	2.51.2.47
FI9816P V2	2.51.2.47
FI9851P V2	2.54.2.47
R2	2.71.1.59
C2	2.72.1.59
R4	2.71.1.59
FI9900EP	2.74.1.59
FI9900P	2.74.1.59
FI9901EP	2.74.1.59
FI9961EP	2.72.1.59
FI9928P	2.74.1.58
FI9803EP	2.22.2.31
FI9803P	2.24.2.31
FI9853EP	2.22.2.31
FI9851P	2.24.2.31
FI9821P V2	2.21.2.31
FI9826P V2	2.21.2.31
FI9831P V2	2.21.2.31
FI9821EP	2.21.2.31
FI9821W V2	2.11.1.120
FI9818W V2	2.13.2.120
FI9831W	2.11.1.120
FI9826W	2.11.1.120
FI9821P	2.11.1.120
FI9831P	2.11.1.120
FI9826P	2.11.1.120
FI9805W	2.14.1.120
FI9804W	2.14.1.120
FI9804P	2.14.1.120
FI9805E	2.14.1.120
FI9805P	2.14.1.120
FI9828P	2.13.1.120
FI9828W	2.13.1.120
FI9828P V2	2.11.1.133

Reacties (64)

Freekers 12 juli 2018 11:37

Dit is precies de reden waarom mijn IPcams geen toegang hebben tot internet maar alleen tot mijn lokale netwerk. Mijn IPcams zijn aangesloten op mijn Synology NAS. Via Synology Surveillance Station kan ik dan op afstand de beelden bekijken.

fRiEtJeSaTe @Freekers • 12 juli 2018 11:49

Vergeet je niet upnp uit te zetten dan?
Ik kwam er per ongeluk achter dat dit automatisch aan staat op het Ziggo modem.

Hier ook via Synology VPN en dan DS-Cam app. Zo min mogelijk met internet verbonden. (maar ik koop uberhaupt al geen Foscam rommel)

[Reactie gewijzigd door fRiEtJeSaTe op 23 juli 2024 12:24]

Freekers @fRiEtJeSaTe • 12 juli 2018 11:53

UPNP staat inderdaad uit. Sterker nog, ik heb een firewall rule aangemaakt in mijn Mikrotik router dat hij gewoon niet naar 'buiten' mag communiceren, dus ook al stond UPNP aan, mijn Mikrotik blokkeert het verkeer vanaf de Foscam sowieso.

ThaStealth @Frankster • 12 juli 2018 12:26

Ik zou me maar even verdiepen in wat UPnP is en doet als ik jou was:
https://forum.kpn.com/int...-wat-waarom-en-hoe-322560

Misschien doel je erop dat UPnP devices automatisch in Windows verschijnen? Windows vind inderdaad alleen maar lokale devices.

RobinF @ThaStealth • 12 juli 2018 13:46

Verschil tussen UPnP IGD (waar we t hier over hebben en waar jij ook opdoelt) en UPnP AV (wat lokaal werkt om video/audio apparaten te ontdekken)

airell @Freekers • 12 juli 2018 11:46

Dat gaat voor Foscam niet helemaal werken, niet bij mijn ipcam. Om de officiele app te kunnen gebruiken moet je in eerste instanstie deze wel doorlaten. Als de camera op je account geregistreerd is dan kun je alles dichtzetten. Via ONVIF benaderen is het geen probleem.

vali @airell • 12 juli 2018 11:53

Werkt anders prima met de Foscam IP-camera's die ik in het verleden heb geconfigureerd. Lijkt er eerder op dat je Foscam camera niet op de juiste manier configureert op je Synology.

[Reactie gewijzigd door vali op 23 juli 2024 12:24]

airell @vali • 12 juli 2018 12:02

Ik heb geen Synology... maar volgens Freekers doet die dat via ONVIF.
Via de officiele app moet je inloggen op een Foscam account waar de camera wel bekend moet zijn. Gooi je eerst alles dicht, dan kom je er niet op.

vali @airell • 12 juli 2018 12:10

Ik heb het niet via ONVIF geconfigureerd , maar een apart account aangemaakt op de Foscam camera's. De camera's hoef je helemaal niet via je officiële app te configureren, het kan prima via de browser.

In de webinterface kan je ook instellen welke Private IP-adres gebruik mag maken van je camera. Zeker slim om te configureren.

[Reactie gewijzigd door vali op 23 juli 2024 12:24]

Freekers @airell • 12 juli 2018 11:52

Mijn Synology benaderd hem inderdaad via ONVIF.

kakanox @Freekers • 12 juli 2018 11:53

Idem hier, en gezien ik Foscam C1's door m'n huis heb verspreid (voordeur, achterdeur, tuin, kluis, kinderkamer) ben ik daar best wel blij om

De VPN op m'n telefoon hangt toch permanent open dus als er iets gebeurt weet ik het direct.

Cyw00d @Freekers • 12 juli 2018 12:19

Ik heb precies dezelfde configuratie, voelde me al veiliger om het zo te doen, dit nieuwsbericht bevestigd het nog een keer.

bbob @Freekers • 12 juli 2018 14:07

Tja ik kies er dus juist bewust voor om de nas geen toegang tot internet te geven. Heb liever niet dat er van buiten toegang is tot de nas. als die een foutje heeft kunnen ze alles van je nas bekijken.

Freekers @bbob • 13 juli 2018 10:40

Eens, maar over het algemeen zit Synology bovenop beveiligingslekken plus worden alle patches automatisch geïnstalleerd, i.t.t. de firmware van mijn IP camera's

bbob @Freekers • 13 juli 2018 12:29

Klopt auto update werkt goed maar neemt niet weg eventuele bug die misbruikt kunnen worden. Heb nas daarom liever niet aan het net hangen.
Maar goed gaat om bestanden, worden parallel ook in google drive gezet en daar kan ik ze wel benaderen.

jsnl @Freekers • 13 juli 2018 12:07

Ik doe dat hier via NetLimiter, ook alleen toegang tot lokale netwerk.
Gebruik geen apps, heb geen smartfoon.

vali 12 juli 2018 11:39

Fijn dat consumentenbond dit roept, maar het was slimmer geweest als ze erbij vermelden dat je zo'n camera nooit rechtstreeks aan het internet moet hangen. Moet zeggen dat van de meeste consumenten camera's die ik tegen kwam wordt mijn Foscam het langst ondersteund (5 jaar is zeker niet niks).

De organisatie zegt dat Foscam na aandringen heeft toegezegd de update beter onder de aandacht te brengen.

Wordt misschien op aangedrongen, maar er wordt tenminste nog iets gedaan. Kan mij nog wel een ergere lek herinneren van D-link waarbij de privésleutel voor het ondertekenen van D-Link-software zes maanden lang publiekelijk beschikbaar was en dat de mobiele app van de fabrikant de login-gegevens van gebruikers onbeveiligd op mobiele apparaten opsloeg.

Verder moet ik erbij vermelden dat je wel goed moet kijken welke versie je hebt. Je kan niet zomaar de laatste versie erop flashen als de huidige versie van je camera te ver achter loopt. De consumentenbond heeft het over patch 2 die al 2 maanden geleden is uitgekomen (dus als voorbeeld App firmware V-2.x.1.120_p2 en niet V-2.x.1.120). Zorg er ook voor dat je system firmware op de laatste versie zit (als voorbeeld 1.4.1.10 en die kan je vinden onder een oudere App firmware V-2.x.1.119).

[Reactie gewijzigd door vali op 23 juli 2024 12:24]

The Zep Man

Beveiliging en antivirus
Security

@vali • 12 juli 2018 12:34

Wordt misschien op aangedrongen, maar er wordt tenminste nog iets gedaan.

Als dit soort prul met het Internet wordt verbonden, waarom wordt er dan geen (stille) auto-updatefunctie gebruikt? Dan wordt er pas iets aan gedaan. Je kan er nu vanuit gaan dat 90% van de camera's nooit een update zullen ontvangen.

vali @The Zep Man • 12 juli 2018 12:43

Wordt misschien verwacht dat je enigsinds verdiept in je product voordat je het koopt? Voor de mensen die hier geen zin in hebben kunnen altijd nog de hoofdprijs betalen bij een mediamarkt "service punt".

Ook wordt dit soort "prul" ook niet automatisch aan je internet verbonden, mensen moeten dit alsnog configureren.

[Reactie gewijzigd door vali op 23 juli 2024 12:24]

aequitas

@The Zep Man • 12 juli 2018 12:53

Kosten, een automatische update die fout gaat (bv. bricked device) resulteert in veel klachten en garantiegevallen. Dus dat moet dan ook in de prijs van de camera worden doorberekend. En dan kom je in het duurdere segment uit. Mensen willen voor een dubbeltje op de eerste rang en dan krijg je dus dit.

Sperion @The Zep Man • 12 juli 2018 14:16

omdat het uiteraard niet wenselijk is dat een camera tijdens het updaten, of na de update (door een brick) niet meer werkt. een beveiligings camera welke niet werkt is erger dan 1 die lek is.

Lord Anubis @The Zep Man • 12 juli 2018 16:16

wie wilt er een stille update? Dan kunnen ze er op zetten wat ze willen. En als het uitgevogeld is hoe, doet een ander het wel voor je.

jsnl @The Zep Man • 13 juli 2018 12:10

Ben over mijn "prul" Foscan Cam zeer tevreden, heb 24u/dag kleurenbeeld dankzij straatlantaarn in de buurt.
Werk in beveiliging, zie daar heel vaak Cams met veel slechter beeld als mijn "prul"Foscam, terwijl ze 6-10 keer zo duur zijn.

Storm-Fox 12 juli 2018 11:40

IP-camera's zonder firewall op het internet aansluiten is vragen om problemen (tenzij
je een publieke live-view camera hebt)

Het beste is om de camera's alleen middels client-vpn bereikbaar te maken, maar helaas
is deze mogelijkheid niet voor iedereen voor handen.

iMars @Storm-Fox • 12 juli 2018 14:02

De meeste consumenten hebben een standaard nat-firewall. Die houdt alles van buiten tegen, tenzij er van binnenuit een verbinding geïnitieerd wordt en/of upnp aan staat.

Storm-Fox @iMars • 12 juli 2018 14:24

Ik heb jaren geleden een d-link ip-camera aangeschaft die ik kortstondig wilde gebruiken om tijdens
mijn vakantie het huis een beetje te kunnen controleren indien het alarm af zou gaan.

Ik dacht veilig te zijn door in de d-link software een user aanmaken die toegang had tot de live view, maar tot mijn verbazing ontdekte ik dat mijn android-app zonder authenticatie bij de beelden(rstp stream) kon. Het ip address filter bleek ook niet te werken. Gelukkig kwam ik hier direct achter, anders had ik
het risico gelopen dat mijn onschuldige beelden live te volgen waren op bijvoorbeeld insecam.org.

Helaas wordt de firmware bij de meeste huis-tuin-en-keuken ipcamera's zeer slecht bijgehouden en
ben je als leek totaal onbewust van dit onderschat risico.

airell 12 juli 2018 11:41

Van de consumentenbond site:

Update installeren
De veiligheidsupdate installeer je op je actieve camera door in de video-viewer van de Foscam-app op het instellingenicoon te tikken. Daar kun je kiezen voor 'Firmware Upgrade'. Downloaden en installeren duurt een paar minuten.

Dat is dus niet (altijd) waar... ik krijg doodleuk de mededeling dat mijn camera dit niet ondersteund (FosBaby P1, wat in vorige versies wel gewoon was)!

Dus dan via die brakke web interface die ook alleen (nog) maar via IE werkt.

[Reactie gewijzigd door airell op 23 juli 2024 12:24]

vali @airell • 12 juli 2018 11:48

Ze hebben dit bij meerdere camera's pas bij een bepaalde firmware toegevoegd. Kan zijn dat die van jou nog ver achter loopt. Verder kan je de camera prima beheren vanaf elke browser (safari, IE,Firefox en Chrome), zolang je maar de plugin installeert. Zorg ervoor dat je App firmware en
System firmware op de laatste versie zit.

[Reactie gewijzigd door vali op 23 juli 2024 12:24]

S0epkip @vali • 12 juli 2018 14:07

De plugin is pas relatief recent ge-update voor Chrome compatibility, FYI.
Vroeger werkte de webinterface dus niet op Chrome, tegenwoordig - vanaf een bepaalde firmware/app versie - dus wel.

vali @S0epkip • 12 juli 2018 16:02

Chrome inderdaad sinds kort(Naja kort, al flink wat maanden), maar binnen safari en Firefox werkte het wel al jaren. Gebruik zelf geen Chrome, maar voor de mensen die het wel gebruiken is het wel fijn.

[Reactie gewijzigd door vali op 23 juli 2024 12:24]

Spanjard @airell • 12 juli 2018 11:45

klopt en alleen nog maar thuis want buiten huis is het certificaat verlopen en mag je niet eens meer erna verbinden dus alleen via telefoon apps enzo kon ik mijn beide fosbaby P1 en fosbaby nog benaderen.

tom.cx 12 juli 2018 11:36

Goed dat de consumentenbond ook dit soort onderzoeken doen. Ze hebben nog steeds aardig wat macht.

Een tip voor Tweakers. Misschien een uitklapbare tabel maken als hij langer is dan een x aantal regels.

dabronsg @tom.cx • 12 juli 2018 12:39

De consumentenbond doet dit soort onderzoeken niet. Ze hebben een oproep van een beveiligingsbedrijf gepubliceerd. That's it.

ToolBee @tom.cx • 12 juli 2018 13:57

Lekker vlot ook! Ruim een jaar geleden al nieuws hier op Tweakers! En een patch:
nieuws: Foscam reageert op berichten over lekken in ip-camera en brengt patch...

DonJunior 12 juli 2018 11:55

Ik check dus net mijn Foscam app. Als ik de camera start en vervolgens Firmware Upgrade doe krijg ik te zien:
"
Your firmware is up to date
Current version: 1.12.5.4.xxxxx
"

Hoe kan ik dan updaten naar 2.5 (de huidige versie) zoals benoemd in deze post ?

[Reactie gewijzigd door DonJunior op 23 juli 2024 12:24]

vali @DonJunior • 12 juli 2018 11:59

Naar de website gaan en de firmware updates handmatig uitvoeren?

DonJunior @vali • 12 juli 2018 12:11

Die app werkt van geen meter voor wat betreft updates dus.
Ik open namelijk regelmatig de app om te kijken of er updates zijn en was er van overtuigd dat ik de laatste versie had... blijk ik dus al enorm achter te lopen.
Lekker veilig.

vali @DonJunior • 12 juli 2018 12:13

Ik kan mij herinneren dat ze een jaar geleden die update knop gefixt hadden. Die werkte inderdaad niet goed. Zelf maak ik eigenlijk nooit gebruik van die functie, maar bekijk ik de website van de fabrikant . Dan weet ik zeker dat ik op de laatste security patch zit (misschien ook een tip voor jou).

SunnieNL

@DonJunior • 12 juli 2018 13:04

Voorlopig weigert de app me überhaupt toegang. Na mijn vingerprint te scannen crashed die instantly op Android en blijft dit ook doen.

sharkzor 12 juli 2018 11:54

Uitgaand zou ik ook die camera's toegang tot internet blokkeren.
Ik zag vreemd verkeer naar chinese ip's verdwijnen in mijn palo alto firewall.
Dat kan dus nu niet meer

jeroenvtec @sharkzor • 12 juli 2018 15:40

Meest gewilde is dat je juist via internet kan kijken, en dan is er een cloud versie zoals bv de techniek ala teamviewer of rechtstreeks op je IP.
Mij is onduidelijk op welke manier de hackers bij de cam kunnen komen nadat je een hamstertje site hebt bezocht.

diyoo 12 juli 2018 11:38

Lekken in dit soort apparaten zullen nog wel een tijd aan de orde blijven. Security staat tijdens ontwikkeling vaak niet op de agenda, want te duur. Support achteraf is daarnaast eerder uitzondering dan regel. Goed om te zien dat Foscam hier wel aandacht aan besteedt. Vooralsnog houd ik zelf mijn apparatuur liever in mijn eigen netwerk, alleen bereikbaar via VPN. Ook dat kan natuurlijk gekraakt worden, maar is in ieder geval een stuk meer moeite dan een script downloaden dat naar bv. camera's zoekt en je een user interface geeft met bereikbare en hackbare camera's.

Pazo

12 juli 2018 11:40

Hmm, die van mij zitten er ook bij. Vanmiddag maar eens updaten dan! Dacht dat ik het wel voor elkaar had, maar niet dus.

Zer0 12 juli 2018 12:36

Leuk dat de Consumentenbond dit aankaart, maar het is natuurlijk een druppel op een gloeiende plaat.
Er zijn naast de Foscams nog tientallen klonen en relabel merken die (gemodificeerde) Foscam firmware gebruiken, en vaak geen of heel beperkt updates aanbieden.

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (64)

Sorteer op:

Weergave: