Op de Def Con-conferentie heeft een onderzoeker van het Japanse beveiligingsbedrijf Trend Micro verschillende kwetsbaarheden in Crestron-domoticacontrollers gepresenteerd, die een aanvaller de apparaten laten overnemen en bijvoorbeeld video laten streamen.
De onderzoeker, Ricky Lawshae, introduceerde Crestron als een systeem dat op veel plaatsen wordt gebruikt, zoals kantoren, universiteiten, hotels en vliegvelden. Ook zou Crestron in zijn communicatie vaker verwijzen naar een hechte samenwerking met Microsoft. Voor zijn onderzoek richtte hij zich op twee Crestron-apparaten, de MC3 en de TSW760. Daarbij is het eerste apparaat een controlesysteem op basis van Windows CE 6 en het tweede een Android-tablet dat als controller fungeert en Lollypop draait. Via een Shodan-zoekopdracht wist hij gemiddeld 20.000 to 23.000 Crestron-apparaten te vinden die direct op het internet waren aangesloten.
Dat leverde een probleem op toen hij erachter kwam dat er ongeautoriseerde toegang mogelijk was tot de zogenaamde ctp-console, waarbij ctp staat voor Crestron Terminal Protocol, iets dat voornamelijk door programmeurs wordt gebruikt. Hoewel er authenticatiemethodes beschikbaar waren, stonden deze in de meeste gevallen uit. Lawshae opperde dat dit wellicht met de complexiteit van de systemen te maken heeft. Een tweede constatering was dat hij na het inloggen op de apparaten meteen een beheerdersrol had, waardoor hij een groot aantal commando's kon uitvoeren. Bovendien waren er ongedocumenteerde commando's te vinden die buiten de sandbox draaiden waarin hij na het inloggen terechtkwam. Zo kon hij bijvoorbeeld een browser starten of audio opnemen op de Android-tablet.
Lawshae ontdekte bovendien twee backdoor-accounts voor engineers. De wachtwoorden daarvan waren gebaseerd op het mac-adres, waartoe hij toegang had via de ctp-console. Bovendien was het algoritme voor het aanmaken van het wachtwoord opgenomen in de firmware. De onderzoeker illustreerde dat hij met de aanwezige accounts op het Windows-systeem bijvoorbeeld het register kon aanpassen en elk willekeurig uitvoerbaar bestand buiten de sandbox kon uitvoeren. In een demo toonde hij hoe hij een telnet-shell aanmaakte die hem volledige toegang gaf tot het systeem.
Lawshae sloot af met de ontdekking van 22 command injection-kwetsbaarheden in de ctp-console op het Android-systeem, die het op afstand uitvoeren van code mogelijk maakten. Omdat hij maar beperkt de tijd had, zocht hij niet naar verdere lekken. In een laatste demo liet hij zien hoe hij op afstand de camera van de Android-controller inschakelde en toegang had tot de videostream. Daarbij merkte hij op dat dit product bijvoorbeeld ook in hotelkamers wordt gebruikt. Crestron heeft de gevonden lekken volgens de onderzoeker inmiddels gedicht. Hij merkte in zijn conclusie op dat het Android-systeem een stuk onveiliger leek dan de Windows-variant; hij speculeerde dat dit mogelijk te maken heeft met de relatie tot Microsoft en dat Crestron nog niet lang met Android werkt.
:strip_exif()/i/2002188017.jpeg?f=fpa)
:strip_exif()/i/2002128881.jpeg?f=fpa)
/i/1253263024.png?f=fpa)
:strip_exif()/u/36662/OddesE.gif?f=community){kind=small}
:strip_exif()/u/677/crop5e62ccc026e5a_cropped.gif?f=community){kind=small}
... mis dus alleen bouwkunde
:strip_exif()/u/123630/kuikenicoon%2520copy.gif?f=community){kind=small}