Hero4-camera’s van GoPro blijken slecht beveiligd
De beveiliging van de populaire Hero4-camera’s van GoPro laat ten wensen over. Aanvallers kunnen op afstand toegang krijgen tot de camera’s en live meekijken en -luisteren. Daarnaast zouden ook opnames die op de camera staan opgeslagen op afstand toegankelijk zijn.
Dit meldt Ken Munro van Pen Test Partners tegenover BBC, die ook gelijk het lek demonstreerde. Veel gebruikers zouden zwakke wachtwoorden instellen op hun GoPro, die vervolgens via een brute force-aanval kan worden geraden. Opvallend is dan ook dat het inloggen niet na een aantal foutieve inlogpogingen automatisch wordt geblokkeerd.
Ook toegankelijk als camera uitstaat
Het probleem wordt vergroot door het feit dat gebruikers hun wifi-verbinding kunnen laten aanstaan, ook als de camera uitstaat. Aanvallers kunnen hierdoor ten alle tijde toegang krijgen tot de camera.
In een demonstratie laat Munro zien hoe hij een uitgeschakelde Hero4-camera op afstand tot leven kan wekken. Vervolgens kan hij het lampje dat aangeeft dat de camera opneemt uitschakelen en alle videobeelden die met de camera worden opgenomen door streamen naar zijn mobiele telefoon. De aanvaller kan dus letterlijk live meekijken met de camera.
WPA2-PSK
GoPro is zich van geen kwaad bewust en geeft tegenover de BBC in een verklaring aan de industrie-standaard WPA2-PSK te gebruiken, dat ook door veel andere wifi-apparatuur wordt gebruikt. Daarnaast zou het bedrijf klanten dwingen een wachtwoord in te stellen van 8 tot 16 karakters, al hebben gebruikers zelf de vrijheid om te bepalen hoe complex dit wachtwoord wordt.
Meer over
Lees ook
Onegini en iWelcome fuseren tot de grootste Europese IAM SaaS leverancier
De Nederlandse SaaS softwarebedrijven Onegini en iWelcome zijn vandaag gefuseerd tot OneWelcome. De combinatie van de twee bedrijven maakt dit tot de grootste Europese SaaS leverancier van Customer Identity & Access Management (CIAM).
Deel mee aan de OneTrust webinar Data mapping: De basis van elk privacy programma
Data mapping is een essentieel onderdeel van elk privacy programma. Begrijpen hoe gegevens door de organisatie stromen is dan ook een eerste vereiste om de gegevens te kunnen beveiligen en risico’s te analyseren.
ROC van Amsterdam-Flevoland zet EduConnector in voor integratie met ECK-iD
Het ROC van Amsterdam-Flevoland heeft als eerste MBO de EduConnector, de cloudoplossing voor de koppeling tussen het ECK-iD en digitale lesmaterialen, ingezet. Hierdoor kan de onderwijsinstelling identiteitsinformatie van studenten veilig delen, wat een voorwaarde is om te voldoen aan de AVG.