Beveiligingsonderzoekers van het bedrijf Exploiteers hebben een lek gevonden in een Smartcam van Samsung, die een aanvaller het apparaat op afstand laat overnemen. Zij hadden Samung eerder al op de hoogte gesteld van kwetsbaarheden in zijn ip-camera's.

De kwetsbaarheid is aanwezig in het SNH-1011-model, maar mogelijk ook in andere modellen. De onderzoekers schrijven dat het lek in php-code aanwezig is, waardoor een aanvaller door middel vancommand injection willekeurige code op de camera kan uitvoeren. Hierdoor kan hij het apparaat overnemen en bijvoorbeeld toegang verkrijgen tot de beelden die de camera opneemt. De kwetsbare code is verantwoordelijk voor het updaten van de firmware via de zogenaamde iWatch-dienst. Omdat er geen input sanitation plaatsvindt, kan een aanvaller zelf een bestandsnaam kiezen voor een updatebestand, die kwaadaardige commando's bevat. De webserver voert deze commando's vervolgens uit als root. De onderzoekers melden dat dit niet de eerste keer is dat deze cameralijn van Samsung kwetsbaar blijkt te zijn.

In een eerder onderzoek uit 2014 kwam naar boven dat het mogelijk was om op afstand code op de camera's uit te voeren en het beheerderswachtwoord te wijzigen. Toen Samsung op de hoogte werd gebracht van dit feit, besloot het om het gehele lokaal toegankelijke webinterface te verwijderen. Daardoor moesten gebruikers noodgedwongen inloggen via de SmartCloud-website van Samsung. Daarom kozen de onderzoekers er nu voor nog eens naar de ip-camera te kijken om te verifiëren dat de lekken waren gedicht. Dat bleek zo te zijn, met uitzondering van de kwetsbare php-code, die niet door Samsung was verwijderd.

Lekken in ip-camera's komen regelmatig voor. De onderzoeksorganisatie AV-Test publiceerde onlangs een veiligheidstest van acht verschillende ip-camera's. Daarbij behaalden camera's van Logitech, Netgear en MyFox het maximale aantal punten, de rest scoorde lager. Zo sturen sommige modellen bijvoorbeeld beelden onversleuteld door. Camera's met ondeugdelijke beveiliging maken ook onderdeel uit van het Mirai-botnet, dat voor een groot deel bestaat uit gehackte iot-apparaten. De Amerikaanse FTC diende onlangs een klacht in tegen D-Link omdat het bedrijf zijn ip-camera's niet voldoende zou beveiligen. De Taiwanese fabrikant wijst dit van de hand. 
 

Bron: Tweakers.net