Hero4-camera’s van GoPro blijken slecht beveiligd

De beveiliging van de populaire Hero4-camera’s van GoPro laat ten wensen over. Aanvallers kunnen op afstand toegang krijgen tot de camera’s en live meekijken en -luisteren. Daarnaast zouden ook opnames die op de camera staan opgeslagen op afstand toegankelijk zijn.

Dit meldt Ken Munro van Pen Test Partners tegenover BBC, die ook gelijk het lek demonstreerde. Veel gebruikers zouden zwakke wachtwoorden instellen op hun GoPro, die vervolgens via een brute force-aanval kan worden geraden. Opvallend is dan ook dat het inloggen niet na een aantal foutieve inlogpogingen automatisch wordt geblokkeerd.

Ook toegankelijk als camera uitstaat

Het probleem wordt vergroot door het feit dat gebruikers hun wifi-verbinding kunnen laten aanstaan, ook als de camera uitstaat. Aanvallers kunnen hierdoor ten alle tijde toegang krijgen tot de camera.

In een demonstratie laat Munro zien hoe hij een uitgeschakelde Hero4-camera op afstand tot leven kan wekken. Vervolgens kan hij het lampje dat aangeeft dat de camera opneemt uitschakelen en alle videobeelden die met de camera worden opgenomen door streamen naar zijn mobiele telefoon. De aanvaller kan dus letterlijk live meekijken met de camera.

WPA2-PSK

GoPro is zich van geen kwaad bewust en geeft tegenover de BBC in een verklaring aan de industrie-standaard WPA2-PSK te gebruiken, dat ook door veel andere wifi-apparatuur wordt gebruikt. Daarnaast zou het bedrijf klanten dwingen een wachtwoord in te stellen van 8 tot 16 karakters, al hebben gebruikers zelf de vrijheid om te bepalen hoe complex dit wachtwoord wordt.

Lees ook
Genetec kondigt nieuwe versie van Security Center aan

Genetec kondigt nieuwe versie van Security Center aan

Genetec Inc., technologieleverancier van oplossingen voor unified security, openbare veiligheid, operations en business intelligence, heeft een nieuwe versie aangekondigd van haar unified security platform Security Center.

Wegiz belangrijke stap voor digitale beveiliging zorgsector

Wegiz belangrijke stap voor digitale beveiliging zorgsector

De kogel is door de kerk! In navolging van de Tweede Kamer stemde ook de Eerste Kamer op 19 april 2023 vóór de Wet elektronische gegevensuitwisseling in de zorg (Wegiz). Dit houdt in dat de uitwisseling van patiëntgegevens tussen zorgaanbieders voortaan verplicht elektronisch verloopt.

DigiCert onderzoek onderstreept belang digitaal vertrouwen voor bedrijfsresultaten en klantloyaliteit

DigiCert onderzoek onderstreept belang digitaal vertrouwen voor bedrijfsresultaten en klantloyaliteit

DigiCert, de leverancier van digitaal vertrouwen, heeft het onderzoek 'Digitaal vertrouwen: de stand van zaken in 2022' gepubliceerd. Daaruit blijkt dat bijna de helft van de consumenten (47%) al eens is overgestapt naar een ander bedrijf doordat ze het vertrouwen in de digitale beveiliging van een bedrijf verloren. Als bedrijven hun digitaal vert1