Hero4-camera’s van GoPro blijken slecht beveiligd
De beveiliging van de populaire Hero4-camera’s van GoPro laat ten wensen over. Aanvallers kunnen op afstand toegang krijgen tot de camera’s en live meekijken en -luisteren. Daarnaast zouden ook opnames die op de camera staan opgeslagen op afstand toegankelijk zijn.
Dit meldt Ken Munro van Pen Test Partners tegenover BBC, die ook gelijk het lek demonstreerde. Veel gebruikers zouden zwakke wachtwoorden instellen op hun GoPro, die vervolgens via een brute force-aanval kan worden geraden. Opvallend is dan ook dat het inloggen niet na een aantal foutieve inlogpogingen automatisch wordt geblokkeerd.
Ook toegankelijk als camera uitstaat
Het probleem wordt vergroot door het feit dat gebruikers hun wifi-verbinding kunnen laten aanstaan, ook als de camera uitstaat. Aanvallers kunnen hierdoor ten alle tijde toegang krijgen tot de camera.
In een demonstratie laat Munro zien hoe hij een uitgeschakelde Hero4-camera op afstand tot leven kan wekken. Vervolgens kan hij het lampje dat aangeeft dat de camera opneemt uitschakelen en alle videobeelden die met de camera worden opgenomen door streamen naar zijn mobiele telefoon. De aanvaller kan dus letterlijk live meekijken met de camera.
WPA2-PSK
GoPro is zich van geen kwaad bewust en geeft tegenover de BBC in een verklaring aan de industrie-standaard WPA2-PSK te gebruiken, dat ook door veel andere wifi-apparatuur wordt gebruikt. Daarnaast zou het bedrijf klanten dwingen een wachtwoord in te stellen van 8 tot 16 karakters, al hebben gebruikers zelf de vrijheid om te bepalen hoe complex dit wachtwoord wordt.
Meer over
Lees ook
Kingston lanceert beveiligde USB-stick met USB 3.0-ondersteuning
Kingston lanceert de DataTraveler Locker+ G3 USB 3.0 Flash drive. De nieuwste generatie van de DataTraveler Locker+ G3 biedt dankzij USB 3.0 hogere datasnelheden dan zijn voorganger. De USB-sticks van Kingston zijn beveiligd met een wachtwoord en is voorzien van hardware die alle opgeslagen data automatisch versleuteld. Gebruikers kunnen hierdoor1
Ex-medewerker van Chinese PayPal-concurrent verkoopt 20 GB aan klantgegevens
Een voormalig medewerker van de Chinese PayPal-concurrent Alipay heeft 20 GB aan klantgegevens doorverkocht aan e-commercebedrijven. Het zou gaan om telefoonnummers, huisadressen, e-mailadressen en aankopen van klanten van Alipay. China Daily meldt dat de ex-medewerker de klantgegevens zelf heeft gestolen bij het bedrijf. De man zou vervolgens hu1
Best practices helpen privé-apparaten veilig op de werkvloer te gebruiken
Microsoft lanceert een reeks best practices voor werknemers die hun privé-apparaten op de werkvloer willen gebruiken. Het bedrijf adviseert onder andere alleen legitieme apps en software te gebruiken die afkomstig is van betrouwbare bronnen. Het meenemen van privé-apparaten naar de werkvloer, wat ook wel Bring Your Own Device (BYOD) wordt genoemd1