'Bespioneren van gebruiker mogelijk door kwetsbaarheid in camera'

Volgens het laatste Internet of Things-onderzoek (IoT) van ESET, lijdt de D-Link DCS-2132L-cloudcamera aan meerdere beveiligingskwetsbaarheden die toegang kunnen geven aan onbevoegde partijen. Op basis van de gedeelde informatie heeft de fabrikant enkele van de kwetsbaarheden verholpen, maar er bestaan nog steeds dreigingen.

ESET “Het meest serieuze probleem van de D-Link DCS-2132L-cloudcamera is de onversleutelde verbinding van de videostream. Zowel de verbinding tussen de camera en de cloud, als die tussen de cloud en de app van de klant is onversleuteld. Dit geeft de mogelijkheid tot man-in-the-middle-aanvallen (MitM) en laat indringers de videostream van slachtoffers bespioneren”, zo vertelt ESET-onderzoeker Milan Fránik vanuit het ESET-onderzoekslab in Bratislava.

Een ander ernstig probleem met deze camera werd ontdekt in de webbrowserplug-in van ‘myDlink services’. Dit is een van de manieren waarop men de viewer app kan gebruiken; andere apps, zoals de mobiele variant, waren geen onderdeel van ons onderzoek.ESET-onderzoek: bespioneren van gebruiker mogelijk door kwetsbaarheid in camera

De webbrowserplug-in beheert de TCP-tunnel en het afspelen van de livevideo in de browser van de klant. De plug-in is echter ook verantwoordelijk voor het doorsturen van datastreamverzoeken voor video en audio via een tunnel, welke zich bevindt op een willekeurige port op localhost.

“De kwetsbaarheid van de plug-in had schrijnende gevolgen kunnen hebben”, zegt Fránik. “Het bood aanvallers de mogelijkheid legitieme firmware te vervangen door bijvoorbeeld hun eigen gemanipuleerde versie of een versie met een achterdeur.”

ESET heeft de gevonden kwetsbaarheden gerapporteerd aan de fabrikant. Enkele van deze kwetsbaarheden, met name de myDlink-plug-in, zijn sindsdien aangepakt en verholpen middels een update. De problemen omtrent de onversleutelde verbinding houden echter nog stand.

Voor uitgebreidere toelichting van de kwetsbaarheden en mogelijke aanvalsscenario’s, lees het onderzoeksverslag op ESETs blog, WeLiveSecurity.