Beveiligingsonderzoeker verandert Canon-camera op afstand in spionagetool

Een Duitse beveiligingsonderzoeker heeft de EOS 1D X, een high-end camera van Canon, weten te kraken. De netwerkfunctionaliteit van de camera kan worden gebruikt om foto's te stelen, foto's en video's te maken en van de camera een spionagetool te maken.

De Duitse beveiligingsonderzoeker Daniel Mende deed zijn bevindingen uit de doeken op de Hack in the Box-beveiligingsconferentie, die deze week in Amsterdam wordt gehouden. Het blijkt relatief eenvoudig om foto's en video's van de camera te stelen, eigen foto's en video's te maken en zelfs om een livestream van de camera te krijgen. "Deze camera is in feite een spionagetool, als je dat wilt", stelt Mende. "Dit soort apparaten wordt ontworpen zonder dat wordt nagedacht over beveiliging."

Gebruikers lopen volgens Mende bijvoorbeeld gevaar als ze verbinding maken met bijvoorbeeld een wifi-netwerk in een hotel of een koffietent. Mende raadt gebruikers daarom aan om de wifi-functionaliteit van de Canon EOS 1D X alleen in te schakelen op vertrouwde wifi-netwerken. Mende wilde aanvankelijk met Canon samenwerken om de problemen naar buiten te brengen, maar daar wilde de fabrikant niet aan meewerken. Daarom besloot de Duitse beveiligingsonderzoeker de problemen zelf naar buiten te brengen.

Een van de manieren waarop Mende toegang kreeg tot de camera, is door de ingebouwde EOS Utility-modus te misbruiken. Die modus maakt het mogelijk om met een softwaretool van Canon op afstand toegang te krijgen tot de camera. Het authenticatieproces tussen de softwaretool en de camera blijkt nauwelijks beveiligd. Op het eerste gezicht lijkt de communicatie beveiligd met een unieke code en de hostname van de client, maar in de praktijk accepteert de camera connecties vanaf elke hostname.

Bovendien wordt de unieke code voordat het authenticatieproces begint, uitgezonden via upnp. De code wordt weliswaar vermomd, maar desondanks is de code te achterhalen. De enige belemmeringen zijn dat de camera in de Utility-modus moet staan en dat de camera maar één verbinding tegelijk accepteert. Dat laatste blijkt te omzeilen: de huidige gebruiker kan worden uitgelogd door een reset-commando via tcp te versturen.

Ook de ingebouwde webserver die de EOS 1D X aan boord heeft, blijkt eenvoudig te kraken. Voor authenticatie blijkt de webserver een sessie-id van 4 bytes te gebruiken. Dat betekent dat er 65536 mogelijkheden zijn. "Er zijn zes regels Python-code nodig om dat te kraken", aldus Mende. Omdat de webserver die in de camera zit relatief traag is, kan het echter wel maximaal twintig minuten duren voordat het sessie-id achterhaald is. Volgens Mende is het hoe dan ook geen goed idee dat embedded devices zoals camera's webservers aan boord hebben.

De camera beschikt verder over een ftp- en dlna-modus die volgens Mende 'by design onveilig' zijn. Het ftp-protocol is plaintext en kan dus eenvoudig worden afgeluisterd, waarna een kwaadwillende kan inloggen op de camera. Wanneer dlna wordt ingeschakeld, worden alle foto's met iedereen op het netwerk gedeeld, zoals altijd het geval is met dlna.

Tot slot is het relatief eenvoudig om een denial of service-aanval op de camera uit te voeren: wie 100 arp-pakketjes per seconde naar de camera stuurt, zorgt ervoor dat de netwerk-stack crasht. Overigens is de netwerk-stack niet erg stabiel: wanneer de camera verbinding maakt met een netwerk waar ipv6 is ingeschakeld, crasht die eveneens.

Door Joost Schellevis

Redacteur

Feedback • 10-04-2013 11:37 52

10-04-2013 • 11:37

52

Lees meer

Canon EOS 1D X Zwart

geen prijs bekend

4 van 5 sterren
Beveiligingsbedrijf vindt methode om masterkey voor hotelsloten te achterhalen
Beveiligingsbedrijf vindt methode om masterkey voor hotelsloten te achterhalen Nieuws van 25 april 2018
Webframework Django dicht denial of service-kwetsbaarheid
Webframework Django dicht denial of service-kwetsbaarheid Nieuws van 16 september 2013
Canon kondigt EOS 70D-dslr met fasedetectie-af op gehele beeldsensor aan
Canon kondigt EOS 70D-dslr met fasedetectie-af op gehele beeldsensor aan Nieuws van 2 juli 2013
Hacker breekt in op videosysteem van casino en 'wint' 32 miljoen dollar
Hacker breekt in op videosysteem van casino en 'wint' 32 miljoen dollar Nieuws van 17 maart 2013
Eerste alfaversie Magic Lantern voor EOS 7D uitgebracht
Eerste alfaversie Magic Lantern voor EOS 7D uitgebracht Nieuws van 15 oktober 2012
Panasonic Lumix GF3 krijgt nieuwe features via hacktool
Panasonic Lumix GF3 krijgt nieuwe features via hacktool Nieuws van 29 maart 2012
Meer producten en artikelen
Spiegelreflexcamera's Netwerk en systeembeheer Canon EOS

Reacties (52)

-Moderatie-faq
52
45
24
2
0
16
Wijzig sortering

Sorteer op:

Weergave:
laserfreak 10 april 2013 12:09
'4 bytes te gebruiken. Dat betekent dat er 65535 mogelijkheden'

Als ik kan rekenen is 4 bytes gelijk aan 32 bits en dus zijn er 2^32 = 4294967296 mogelijkheden. Kleine rekenfout in het artikel?
Tomassie91 @laserfreak10 april 2013 12:20
Correct, 65535 mogelijkheden is gelijk aan 16 bits of 2 bytes.

Ik kan mij voorstellen dat Canon beveiliging niet op de hoogste prioriteit had staan bij het ontwikkelen van de firmware: je maakt immers software om de camera te besturen, niet om hackers af te weren. Dat betekent niet dat het geen slechte zaak is dat ze te weinig aandacht hebben gespendeerd aan de beveiliging. Daarnaast zijn er tal van open-source webservers die wel degelijk zijn beveiligd en waar je dus gebruik van zou kunnen maken.

Hopelijk erkent Canon de fout en komt ze snel met een patch.

[Reactie gewijzigd door Tomassie91 op 26 juli 2024 06:05]

freaky @Tomassie9110 april 2013 14:17
[miereneukmodus]65536 het laatste getal is weliswaar 65535, de 0 zelf is ook een mogelijkheid. Decimaal is overigens niet anders. Op 1 positie heb je 10 mogelijkheden, maar het hoogste getal is 9 :)[/miereneukmodus]
robvanwijk
@freaky10 april 2013 18:12
En als we dan toch bezig zijn:
Er zijn zes regels Python-code nodig om dat te kraken
Dat zegt helemaal niks, behalve dat het (in zo weinig regels) wel een brute-force aanval moet zijn. Het enige probleem is het veel te lage aantal mogelijkheden. Als dit een 1024-bit getal was geweest blijft het te kraken in zes regels... die een looptijd hebben van x keer de leeftijd van het heelal.
Overigens, er zijn twee situaties waar je gaat brute-forcen: er zijn zo weinig keys mogelijk dat het geen zin heeft om slimmer te zijn dan brute-force, of het algorithme (en de implementatie daarvan!) bevatten geen bekende zwakke plekken en je kunt niet slimmer zijn dan brute-force. Dat laatste is precies wat je juist wel wilt.
_Thanatos_ @laserfreak11 april 2013 02:05
Als ik kan rekenen is 4 bytes gelijk aan 32 bits en dus zijn er 2^32 = 4294967296 mogelijkheden. Kleine rekenfout in het artikel?
Of de webserver is niet in staat om alle 256 mogelijkheden in één byte te gebruiken voor elke byte van het sessie-id. Het zou prima een base-64 string kunnen zijn, en daarmee is 4 bytes opeens niet zo veel meer. Maar toegegeven, 65536 mogelijkheden in 4 bytes zou in theorie base-16 moeten zijn.

[Reactie gewijzigd door _Thanatos_ op 26 juli 2024 06:05]

Valinor 10 april 2013 11:44
Ik vraag me af hoe veilig onze mobiele telefoons zijn. Die zijn 24 uur per dag verbonden aan het internet, hebben camera's en microfoons ingebouwd. Gps zit er ook nog op.
Perfecte spionagetool voor overheden.
Rembert @Valinor10 april 2013 11:57
Prima spionagetool, en niet alleen voor overheden, ook voor de concurrenten. Bij belangrijke vergaderingen altijd telefoons uitschakelen en om het helemaal zeker te weten: telefoons in metalen trommel. Zou ook moeten gelden voor tablets, laptops enz. vooral met BYOD.

Zie ook http://blogs.computerworl...stops-technical-espionage

Eigenlijk kort samengevat: spionage kun je nauwelijks definitief voorkomen.
EektheMan @Rembert10 april 2013 13:07
Als je trommeltjes gaat neerzetten in vergaderruimtes dan zijn er altijd lui die hun mobieltje in hun binnenzak vergeten. Gewoon Laptops en mobieltjes niet in afgeschermde gebieden laten meenemen, ook niet als ze uitgeschakeld zijn, want dat betekend niet dat het apparaat of een apparaat daarin niet actief is. BYOD is uit den boze, want die worden gegarandeerd getapt. Niet vergeten de bewaarruimte (van die achtergelaten laptops en mobieltjes) te laten bewaken.

Helaas komen er steeds meer apparaten standaard uitgerust met WiFi. Ook als deze niet ingeschakeld is heb je een probleem. Bij de 1DX kun je foto's uitlezen, en bij bv printers de printouts of scans. Je zult als IT die module dus moeten verwijderen.
FreshMaker @EektheMan10 april 2013 20:44
Als je trommeltjes gaat neerzetten in vergaderruimtes dan zijn er altijd lui die hun mobieltje in hun binnenzak vergeten. Gewoon Laptops en mobieltjes niet in afgeschermde gebieden laten meenemen, ook niet als ze uitgeschakeld zijn, want dat betekend niet dat het apparaat of een apparaat daarin niet actief is. BYOD is uit den boze, want die worden gegarandeerd getapt. Niet vergeten de bewaarruimte (van die achtergelaten laptops en mobieltjes) te laten bewaken.

Helaas komen er steeds meer apparaten standaard uitgerust met WiFi. Ook als deze niet ingeschakeld is heb je een probleem. Bij de 1DX kun je foto's uitlezen, en bij bv printers de printouts of scans. Je zult als IT die module dus moeten verwijderen.
Ik heb bij diverse bedrijven gewerkt als portier / beveiliger.
Allemaal hadden ze regels, de meest voorkomende bij R&D afdelingen :
"Geen communicatie of opnameapparatuur in de ruimste zin des woords"
Bij twijfel, de portier beslist, dat besluit was ten alle tijden in een kluisje.
Foto van de inhoud ( telefoon / camera whatever ) en sleutel naar eigenaar.

Ik heb de telefoons van hoge KLM & KPN-figuren "naast me" gehad, en politici / ministers / legerofficieren, niemand had er moeite mee.
( vrij simpel, ze HOEFDEN het niet af te geven, maar dan kwamen ze niet binnen )

Stiekem ben ik blij dat ik dat niet meer hoef te doen, in die tijd ( amper 10 jaar geleden ) was een cameraphone relatief zeldzaam ..
_Thanatos_ @Valinor10 april 2013 12:58
Ik denk dat dat nog wel meevalt. Buiten het feit dat het (ook voor de overheid) illegaal is om zomaar iemand te spioneren, kan het simpelweg niet. De OSsen op mobiele telefoons zijn gebaseerd op een linux kernel, die in de basis gebouwd is om veilig te zijn. Een app zonder bijv camera-permission kan die vervolgens ook echt niet gaan gebruiken.

Maar er is wel Google. Die kan in principe een app naar je telefoon pushen, want dat kun je zelf ook vanuit de webinterface van de market. Wellicht dat dat met Apple's store ook kan.

Hoe dan ook is het wel extreme paranoide. Als je dit soort praktijken wil voorkomen, kun je beter een telefoon gebruiken waar die sensors en features gewoon niet inzitten. Een featurephone van €20 bijv.
kozue @_Thanatos_10 april 2013 14:09
De kernel heeft er eigenlijk niks mee te maken. De kernel is hoofdzakelijk om basisfunctionaliteiten te regelen zoals het aansturen van hardware. Het filesysteem kan met permissies bescherming bieden voor jouw user account tegen toegang door anderen, maar aangezien een telefoon eigenlijk maar 1 gebruiker heeft heb je ook daar niet zo veel aan. Die permissies van Android worden niet door de kernel geregeld, maar door Android libraries (of de VM), en is dus allemaal door Google geschreven.

Een telefoon is eigenlijk gewoon een computer tegenwoordig. En net als op de computer kun je ook op de telefoon verbinden met openstaande poorten en de applicaties die daar op luisteren. Het enige wat de toegang voor anderen kan beperken is beveiliging in de applicatie zelf.

Het pushen van applicaties lijkt me niet het grootste probleem. Ook vrijwillig geïnstalleerde applicaties kunnen poorten openen en functies bieden via het netwerk. En dan maakt het niet uit of de software van zichzelf kwaadwillend is of niet, want ook de nette applicaties bevatten lekken.
likewise @_Thanatos_10 april 2013 23:32
(Alleen) Android is op Linux gebaseerd.

iOS op BSD, Mach en Next, mixje, maar geen Linux.
BlackBerry op QNX, geen Linux.
Windows Mobile, ook geen Linux (laatste keer dat ik checkte).

Misschien mag je Meego nog meetellen, dat is Linux.
_Thanatos_ @FreshMaker11 april 2013 02:00
De camera-app heeft geen permissie om opnames te maken terwijl de telefoon standby staat. Dat is dacht ik een aparte permission.
Ramzzz @Valinor10 april 2013 11:51
Ik denk dat ze niet heel blij worden van livestreams vanuit mijn binnenzak. :+

Maar inderdaad, ik vraag me ook al jaren af, in hoeverre de opsporingsbevoegdheden gaandeweg worden opgerekt en datamining niet al een doel op zich is geworden.

Waar slaan ze in vredesnaam al die data op? :P
Fireshade @Ramzzz10 april 2013 13:44
Ik denk dat ze niet heel blij worden van livestreams vanuit mijn binnenzak.
Livestreams van de microfoon van je mobiel zijn nog altijd heel erg bruikbaar ;)
Evenals je locatie.

[Reactie gewijzigd door Fireshade op 26 juli 2024 06:05]

FreshMaker @Fireshade10 april 2013 20:39
[...]

Livestreams van de microfoon van je mobiel zijn nog altijd heel erg bruikbaar ;)
Evenals je locatie.
Daar hebben ze al drones voor.
Moet je niet vang zijn dat persé "jouw" mobieltje gebruikt wordt
Alexxxxxxxxxx @Ventieldopje10 april 2013 15:58
Er zit een microfoon op..
JoostMagTWeten @Ventieldopje11 april 2013 09:36
Das niet zo moeilijk: gewoon met een hoek van de camera op de deurbel drukken.
Shark.Bait @McLoe10 april 2013 14:40
goed lezen, Hij heeft het over mobiele telefoons, niet de DSLR in kwestie.
mstoel 10 april 2013 11:42
Het lenskapje heeft dus meer nut dan alleen het beschermen van je glas in dit geval.
Freakiebeakie @mstoel10 april 2013 11:53
als je de camera gebruikt om te filmen heb je nog steeds geluid , kan best handig zijn
copywizard 10 april 2013 11:43
damn dit is best slecht voor een camera van 6k zou je toch op ze minst vewachten dat er een redelijke beveiliging op zit als ik dit zo lees is het een kwestie van tijd eer dat er een exploit aan metasploit wordt toegevoegd voor het hacken van deze canon camera.
Ventieldopje
@copywizard10 april 2013 14:47
Je vergeet even dat de camera dan dus op het zelfde netwerk als jou moet zitten wat dus vrijwel altijd in de studio is of in een vertrouwde omgeving (en dan bedoel ik niet de Mac). Zelfs bij sport wedstrijden zullen ze die foto's niet via een publieke WiFi versturen maar via een eigen (ad-hoc) access point.

Ik zou eerder van consumenten camera's met WiFi verwachten dat die beter beveiligd zouden zijn, deze zijn een stuk kleiner en makkelijker mee te nemen en dus ideaal voor ongemerkte spionage. Wel eens een 1D X in je broekzak proberen te stoppen? :+
ByteMe_ 10 april 2013 12:03
Daarom ben ik niet zo'n fan van wifi mogelijkheden op apparaten, de mogelijkheid dat anderen er bij kunnen, vind ik al erg genoeg. Je ziet dus blijkbaar dat dit soort apparaten ook misbruikt kunnen worden.

Voor mij gewoon de ouderwetse poort(en)
JP_S @ByteMe_10 april 2013 12:13
Volgens mij heeft een 1DX geen wifi aansluiting...
mjtdevries
@JP_S10 april 2013 12:45
*zucht*
Lees het artikel eens....
BaasG @mjtdevries10 april 2013 13:03
En toch heeft JP_S gelijk...

Standaard heeft de 1DX geen WIFI, daar is de Canon WFT-E6A module voor nodig.

Aan de andere kant, wie zal er met een 1DX in het wild rondlopen met de wifi verbinding wijd open op een vreemd netwerk?
Huibino @BaasG10 april 2013 13:20
Meer mensen dan je denkt.. Niet iedereen is een tweaker en weet wat er allemaal kan gebeuren. Ken genoeg mensen die ook met hun telefoon zomaar even op een willekeurig netwerk in de stad gaan zitten. Dus waarom dan niet met hun camera.
FreshMaker @Huibino10 april 2013 20:49
Al die mensen die door de stad lopen, en met hun mobieltje lopen te zoeken/scannen naar 'gratis' internet.
Vrijwel dagelijks hoor ik het ( en zie het in mijn logfile ) korte bursts om in te melden op mijn guest network, zelfs mensen die random wachtwoorden proberen of het 'echt' niet lukt.

Die gebruiken dus elke open verbinding, en gaan dan ook gewoon hun mail lezen, of bankieren ...

Al denk ik dat een 1Dx gebruiker minder 'dat' volk zal zijn
Fireshade @ByteMe_10 april 2013 13:51
Nee, niet op alle mogelijke apparaten.
Maar dit gaat om een professionele camera die o.a. veel in studio's wordt gebruikt, waar geoliede workflows en strakke deadlines de norm zijn. Foto's worden zelfs tijdens de shoot -soms door een assistent van de fotograaf- gechecked en beoordeeld op grote schermen, want het kleine LCD op de camera voldoet gewoon niet. Er lopen veel mensen rond voor belichting, kleding en makeup door de set. Je wilt niet bedraad gaan knoeien in zulke fotosessies.
_Thanatos_ @Fireshade11 april 2013 02:03
Idealiter misschien ja.

Er zijn zat semi-pro's. Fotografen die het alleen doen, of met 1 assistent. Die het niet erg vinden om een touwtje te trekken van camera naar computer.
Alxndr 10 april 2013 11:47
Afgezien van de mitsen en maren, ik denk dat menig spion zijn vingers aflikt bij zulke specificaties 8-)

on-topic; wat zou de overweging van Canon zijn om niet mee te werken? Dit levert imho toch behoorlijke reputatieschade op, we hebben het hier niet over een doelgroep die weinig te besteden heeft gezien de prijzen van dit speelgoedje...
Ramzzz 10 april 2013 11:42
Wow, best bijzonder dat Canon anno nu nog geen beveiliging overwoog.

Anderzijds, wie gebruikt die functionaliteit nou? Niet aanzetten lijkt me sowieso acculadingbesparend, dus niet aanzetten als je het niet expliciet nodig hebt.

En uiteraard is zo'n 'hack' op zijn zachtst gezegd minder veelzeggend dan inbreken binnen een beveiligd netwerk.

Maar kudos voor het uitvinden!

[Reactie gewijzigd door Ramzzz op 26 juli 2024 06:05]

Verwijderd @Ramzzz10 april 2013 11:54
Anderzijds, wie gebruikt die functionaliteit nou? Niet aanzetten lijkt me sowieso acculadingbesparend, dus niet aanzetten als je het niet expliciet nodig hebt.
Studio- en modelfotografen neem ik aan. Direct de foto naar het netwerk sturen zodat je ze kan beoordelen/bewerken op een echt scherm. Het scheelt ook een hoop gezeul met kaartjes.

Ik denk dat dit meer een storm in een glas water is. Als je (journalist?) fotos wilt doorsturen in een omgeving met WiFi neem ik aan dat je dat via een laptop doet, na controle van de fotos. En studios hebben niet veel geheims, tenzij het misschien nieuwe producten zijn.
kramer65 @Verwijderd10 april 2013 12:23
tenzij het misschien nieuwe producten zijn
En dat noem jij niet veel geheims..?
kwakzalver @Ramzzz10 april 2013 13:05
Zeker zakelijk in de fotografie wordt deze functie continu gebruikt.

In de studio wordt de foto's worden dan op een pc gezet en de foto is gelijk te zien op een monitor.

Op lokatie gebeurt dat ook en vaak wordt de foto ook opgeslagen op een harde schijf.
Denk hierbij aan mode, sport en pers fotografen die foto's gelijk willen doorsturen.

En nu staat zo'n 1D X meestal niet op de 'slechtste' plekken. Denk eens aan al die fotografen op het aanstaande huwelijk van W&M.

Voor je het weet staan daar ook 'tweakers' die deze prima foto's downloaden.
Ventieldopje
@kwakzalver10 april 2013 14:43
Maar geen van deze fotografen zal zijn foto's via (publiekelijke) WiFi versturen ;)

Waar deze functionaliteit vooral gebruikt wordt is in de studio en niet als een hobbyist die even in de mac zijn foto's op facebook wil zetten :+

Ben dan wel benieuwd of het zelfde kan met consumenten camera's met WiFi ;)
n00bs 10 april 2013 14:40
Ik weet al heel lang dat WiFi op camera's niet veilig is, dat is ook de hoofdreden waarom ik geen camera met WiFi ingebakken hoef. Enkel als dit volledig is te disablen (liefst met een mechanische knop zoals op vele laptops).
Ventieldopje
@n00bs10 april 2013 15:00
WiFi uitschakelen met een mechanische knop ... juist. Wat doet dit, knipt de antenne er af? :+ Nee met alle respect maar het blijft een electronische feature die via software aangestuurd wordt, dan kun je beter een WiFi usb stick kopen of voor je camera een WiFeye kaartje als je bang bent dat "de mensen" je ongemerkt volgen :)

[Reactie gewijzigd door Ventieldopje op 26 juli 2024 06:05]

StelioKontos @Ventieldopje10 april 2013 20:13
Durf het niet te zeggen over WiFi, maar bij mijn lenovo staat de geluidknop los van OS, dus vermoedelijk hardwarematig. Kan met Wifi ook gewoon hardwarematig, is weinig fantasie voor nodig.
FreshMaker @StelioKontos10 april 2013 20:51
'gewoon' de +lijn (tijdelijk) losgekoppeld door een switch.
Schijnt al héél lang te gebeuren , ja
BoomSmurf 10 april 2013 21:43
Niet om het een of ander, maar het EOS Utility gedeelte is echt al jaren bekend. Gebruikt hetzelfde protocol als de WFT's (waarbij dit dus al lang zo is). Ja, als je de GUIDs afluistert kun je inderdaad connectie maken - als iemand onvermoed de Wi-Fi aan laat staan zonder hem zelf te gebruiken. De kans dat een fotograaf dat doet is echter klein, vanwege de battery drain. Verder schakelt de camera en/of WFT zichzelf uit met een korte timeout, dus real world valt het allemaal reuze mee.

Zie ook: https://plus.google.com/1...0052449/posts/8fLn5aEVyPx

[Reactie gewijzigd door BoomSmurf op 26 juli 2024 06:05]

Wampa1 10 april 2013 22:42
Kudos voor het ontdekken van al die dingen. En wel vreemd dat Canon er geen heil in zag hier ook maar iets aan te doen in samenwerking met deze onderzoeker. Hij heeft klaarblijkelijk genoeg kwetsbaarheden gevonden.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq