Hero4-camera’s van GoPro blijken slecht beveiligd
De beveiliging van de populaire Hero4-camera’s van GoPro laat ten wensen over. Aanvallers kunnen op afstand toegang krijgen tot de camera’s en live meekijken en -luisteren. Daarnaast zouden ook opnames die op de camera staan opgeslagen op afstand toegankelijk zijn.
Dit meldt Ken Munro van Pen Test Partners tegenover BBC, die ook gelijk het lek demonstreerde. Veel gebruikers zouden zwakke wachtwoorden instellen op hun GoPro, die vervolgens via een brute force-aanval kan worden geraden. Opvallend is dan ook dat het inloggen niet na een aantal foutieve inlogpogingen automatisch wordt geblokkeerd.
Ook toegankelijk als camera uitstaat
Het probleem wordt vergroot door het feit dat gebruikers hun wifi-verbinding kunnen laten aanstaan, ook als de camera uitstaat. Aanvallers kunnen hierdoor ten alle tijde toegang krijgen tot de camera.
In een demonstratie laat Munro zien hoe hij een uitgeschakelde Hero4-camera op afstand tot leven kan wekken. Vervolgens kan hij het lampje dat aangeeft dat de camera opneemt uitschakelen en alle videobeelden die met de camera worden opgenomen door streamen naar zijn mobiele telefoon. De aanvaller kan dus letterlijk live meekijken met de camera.
WPA2-PSK
GoPro is zich van geen kwaad bewust en geeft tegenover de BBC in een verklaring aan de industrie-standaard WPA2-PSK te gebruiken, dat ook door veel andere wifi-apparatuur wordt gebruikt. Daarnaast zou het bedrijf klanten dwingen een wachtwoord in te stellen van 8 tot 16 karakters, al hebben gebruikers zelf de vrijheid om te bepalen hoe complex dit wachtwoord wordt.
Meer over
Lees ook
Secure Pro Keyboard versleutelt draadloze verbinding met computer
Wie met gevoelige documenten werkt moet goed op zijn beveiliging letten. Alleen een virusscanner installeren is niet voldoende. Een keylogger, een oplossing die de toetsaanslagen op een machine registreert, is bijvoorbeeld beschikbaar in zowel een softwarematige als hardwarematige variant. De hardwarematige variant wordt door antivirussoftware nie1
Hackers misbruiken onwaakzaamheid over bekende kwetsbaarheid in netwerktijdprotocol
Sommige kwetsbaarheden worden zo weinig misbruikt dat eigenlijk niemand er aandacht aan besteed. Een voorbeeld hiervan is NTP-servers. Cybercriminelen hebben onverwachts een flinke hoeveelheid aanvallen op netwerktijdprotocol (NTP)-servers uitgevoerd, waardoor zij allerlei servers van grote bedrijven konden neerhalen. Symantec meldt een plotselin1
Intel doopt McAfee om tot Intel Security
Intel maakt bekend de naam McAfee niet langer te zullen gebruiken voor zijn antivirusproducten. Het bedrijf wil hiermee de banden met de McAfee-oprichter John McAfee zo veel mogelijk verbreken. De McAfee-oprichter is de laatste jaren regelmatig negatief in het nieuws. Zo werd hij in 2012 gezocht voor moord in het Centraal-Amerikaanse land Belize.1