Sikkerhedskamera fuldt af sikkerhedshuller

Overvågningskameraer fra producenten Guardzilla har vist sig at indehold masser af sårbarheder, og sikkerhedsproducenten Bitdefender skønner at op mod 410.000 brugere risikerer at it-kriminelle har adgang til deres overvågningsudstyr

Normalt så er overvågningskamera der for at øge sikkerheden, men nu viser det sig, at de overvågningskameraer der kommer fra Guardzilla har masser af sårbarheder i sig. Kameraerne er ellers kendt for at være lette at bruge, diskrete og lette at installere og samtidig har de en lav pris, og både blandt iOS- og Android-brugere er der masser af brugere der har hentet app’en. Sikkerhedsfirmaet Bitdefender skønner at der er over 410.000 aktiverede Guardzilla kameraer installeret, så produkterne er også ret populære.

Men nu viser det sig så, at træerne ikke vokser ind i himmelen, for deres Indoor Security Camera har fået identificeret adskillige sårbarheder af Bitdefender. Disse sårbarheder kan resultere i alvorlige brud på brugerens privatliv. Kriminelle kan oprette forbindelse til kameraet, få fuld adgang til at administrere enheden og få adgang til kameraets direkte optagelser.

Sådan angribes du

Bitdefenders undersøgelse har identificeret tre typer angreb, der alle kan give kriminelle fuld kontrol over et overvågningskamera fra Guardzilla.

  1. De får fuld kontrol over kameraet ved at manipulere Guardzillas autentificerings-service og udgive sig for at være en legitim bruger. Ved at afkode unikke bruger-ID’er kan hackeren forespørge brugernavne (emailadresser) og passwords, og de kan ændre dem uden nogen bekræftelse fra den egentlige bruger.
  2. De får fuld kontrol over kameraet og får fjernadgang til at administrere enheden ved at benytte sig af en komponent til online kommunikation.
  3. De får fuld kontrol over enheden ved at udgive sig for at være en softwareopdatering. Når hackeren kender enhedernes bruger ID’er og kodeord (se angreb A), kan vedkommende få adgang til systemet ved at misbruge kommandoen til fjernopdatering.

Herunder kan du læse tidslinjen for identifikation af sårbarhederne.

august, 2018: Bitdefender tager indledende kontakt med virksomheden og forespørger en PGP-nøgle eller en sikker forbindelse for privat fremførelse. Bitdefender modtog ingen bekræftelse på modtagelsen forespørgslen.

september, 2018: Bitdefender følger op på den indledende forespørgsel, men endnu engang modtages der intet svar.

oktober, 2018: Bitdefender reserverer CVE-2018-18600, CVE-2018-18601, CVE-2018-18602 som forberedelse på publicering. De tildeles samme dag.

december, 2018: 0DayAlley frigiver information om en tilfældigt tilstødende sårbarhed i kameraet.

december, 2018: Bitdefender frigiver rapport til offentligheden om sårbarhederne

Bitdefender har i forbindelse med offentliggørensen af sårbarhederne oplyst:

Bitdefender forstår vigtigheden af forsvarlig oplysning om sikkerhedsmæssige sårbarheder, og har, inden udsendelse af denne rapport, kontaktet den pågældende virksomhed. I starten af september oplyste Bitdefender virksomheden om problemet, men uden noget svar. Da de 90 dage, som virksomheden har til at løse problemet, udløb i december, besluttede Bitdefender at forlænge perioden yderligere. Imidlertid er information om nogle af kameraernes sårbarhederne blevet offentliggjort af anden part, og derfor finder vi det nødvendigt at udgive fuld information om de identificerede sårbarheder samt at vejlede forbrugerne. Bemærk venligst, at sårbarhederne fortsat er tilstedeværende i kameraernes firmware og derfor fortsat udgør en risiko for brugernes sikkerhed.

Del artiklen på

Om Lars Bennetzen (2195 Articles)
Lars Bennetzen har været it- og gadget-journalist siden 1992, og arbejdet som redaktør på PC World, Ingeniøren, Jern- og Maskinindustrien, Procesteknik og Ugens Erhverv. I 2006 blev Lars Chefredaktør på Alt om DATA, og bestyrede det gode gamle it-blad gennem de næste 6 år. I 2012 blev Lars selvstændig og stiftede firmaet Blackbelt Communications og i 2015 startede han Tech-Test. Lars fungerer også som kommunikationskonsulent, taler, moderator og gadgetekspert.
Kommentar til artiklen?