Tijdens de Def Con-conferentie in Las Vegas heeft onderzoeker Alex Balan van anti-virusbedrijf Bitdefender gewaarschuwd voor ongepatchte beveiligingslekken in ruim 125.000 ip-camera's van de Chinese fabrikant Shenzhen Neo Electronic waardoor een aanvaller live met de beelden van de camera kan meekijken en de apparaten in het ergste geval zelfs volledig kan overnemen.

De problemen zijn aanwezig in de NIP-22 en iDoorbell, maar de ip-camera's van andere fabrikanten zijn mogelijk ook kwetsbaar, aangezien ze dezelfde firmware gebruiken. Balan ontdekte twee kwetsbaarheden. Het eerste beveiligingsprobleem is dat de camera's standaard gebruikersnamen en wachtwoorden gebruiken waardoor iedereen op afstand kan inloggen. Het gaat dan om combinaties van gebruikersnaam en wachtwoord als 'user' en 'user' en 'guest' en 'guest'. Daarnaast bevatten de camera's een buffer overflow waardoor een aanvaller willekeurige code kan uitvoeren en de ip-camera's onderdeel van een botnet kan maken.

Op dit moment zijn er 125.000 kwetsbare camera's online te vinden. In de aankondiging van zijn presentatie liet Balan weten dat het om meer dan 200.000 kwetsbare apparaten ging. De onderzoeker waarschuwde Shenzhen Neo Electronic maar kreeg naar eigen zeggen geen reactie. De beveiligingslekken zijn dan ook nog steeds aanwezig, zo laat hij tegenover Vice Magazine weten. Mocht er ooit een update van de fabrikant verschijnen, dan zullen gebruikers die handmatig moeten installeren, aangezien de ip-camera's niet over een automatische updatefunctie beschikken.

Bron: Security.nl