Pen Test Partners, een bedrijf dat zich bezighoudt met IoT-security, heeft gigantische lekken ontdekt in een serie DVR-apparaten die regelmatig worden ingezet voor bewakingscamera's. Pen Test neemt regelmatig allerhande IoT-apparaten onder de loep.

De onderzoekers gingen aan de slag met de TV-7108HE van MVPower en kwamen erachter dat het apparaat amper was beveiligd. Met een aangepaste browsercookie lukte ze het om root-rechten te verkijgen. Nadat ze deze rechten hadden verkregen onderzochten ze het apparaat verder en kwamen ze erachter dat het apparaat geen CSRF of brute-force bescherming had. Bovendien maakt het apparaat geen gebruik van HTTPS-verbindingen voor het web admin-paneel waardoor MitM-aanvallen mogelijk zijn.

Maar het ergste was nog dat de onderzoekers een hardcoded e-mail adres vonden in de firmware. Dit adres (Dit e-mailadres wordt beveiligd tegen spambots. JavaScript dient ingeschakeld te zijn om het te bekijken.) wordt gebruikt om screenshots naartoe te mailen die zijn gemaakt door het apparaat. Het hardcoded onderwerp is "Who are you?" en de inhoud is een screenshot van de camera-feed in een resolutie van 320x180 pixels. 

Eigenaren van dit apparaat kunnen maar weinig doen aan de problemen. De onderzoekers van Pen Test hebben geen code gevonden die het updaten van de firmware mogelijk maakt. Het ziet er dus naar uit dat gebruikers blijven zitten met alle lekken. Het enige dat zij kunnen doen is een nieuwe DVR aanschaffen. Via de website van de IoT-zoekmachine Shodan wordt duidelijk dat er inmiddels 44000 apparaten in gebruik zijn die allemaal hetzelfde lek hebben.

Alles bij de bron; WebWereld



Abonneer je nu op onze wekelijkse nieuwsbrief!
captcha