ESET-onderzoek: Bespioneren van gebruiker mogelijk door kwetsbaarheid in D-Link-camera

Next story

Sliedrecht, 2 mei 2019 – Volgens het laatste Internet of Things-onderzoek (IoT) van ESET, lijdt de D-Link DCS-2132L-cloudcamera aan meerdere beveiligingskwetsbaarheden die toegang kunnen geven aan onbevoegde partijen. Op basis van de gedeelde informatie heeft de fabrikant enkele van de kwetsbaarheden verholpen, maar er bestaan nog steeds dreigingen.

“Het meest serieuze probleem van de D-Link DCS-2132L-cloudcamera is de onversleutelde verbinding van de videostream. Zowel de verbinding tussen de camera en de cloud, als die tussen de cloud en de app van de klant is onversleuteld. Dit geeft de mogelijkheid tot man-in-the-middle-aanvallen (MitM) en laat indringers de videostream van slachtoffers bespioneren,” zo vertelt ESET-onderzoeker Milan Fránik vanuit het ESET-onderzoekslab in Bratislava.

Een ander ernstig probleem met deze camera werd ontdekt in de webbrowserplug-in van “myDlink services”. Dit is één van de manieren waarop men de viewer app kan gebruiken; andere apps, zoals de mobiele variant, waren geen onderdeel van ons onderzoek.

De webbrowserplug-in beheert de TCP-tunnel en het afspelen van de livevideo in de browser van de klant. De plug-in is echter ook verantwoordelijk voor het doorsturen van datastreamverzoeken voor video en audio via een tunnel, welke zich bevindt op een willekeurige port op localhost.

“De kwetsbaarheid van de plug-in had schrijnende gevolgen kunnen hebben,” zegt Fránik. “Het bood aanvallers de mogelijkheid legitieme firmware te vervangen door bijvoorbeeld hun eigen gemanipuleerde versie of een versie met een achterdeur.”

ESET heeft de gevonden kwetsbaarheden gerapporteerd aan de fabrikant. Enkele van deze kwetsbaarheden, met name de myDlink-plug-in, zijn sindsdien aangepakt en verholpen middels een update. De problemen omtrent de onversleutelde verbinding houden echter nog stand.

Voor uitgebreidere toelichting van de kwetsbaarheden en mogelijke aanvalsscenario’s, lees het onderzoeksverslag op ESETs blog, WeLiveSecurity.

Over ons

Al 30 jaar lang ontwikkelt ESET® toonaangevende IT-beveiligingssoftware en -diensten voor bedrijven en consumenten over de hele wereld. Inmiddels is ESET uitgegroeid tot het grootste IT-security bedrijf van de Europese Unie met oplossingen variërend van endpoint en mobile security, tot encryptie en tweefactorauthenticatie. ESET beschermt en monitort 24/7 op de achtergrond en werkt beveiliging in real-time bij om gebruikers veilig te houden en bedrijven zonder onderbreking te laten werken. Gesteund door R&D-centra over de hele wereld, is ESET het eerste IT-beveiligingsbedrijf dat 100 Virus Bulletin VB100-awards heeft verdiend, waarmee elke afzonderlijke "in-the-wild" malware zonder onderbreking werd geïdentificeerd sinds 2003. Ga voor meer informatie naar www.eset.nl of volg ons op LinkedIn, Facebook en Twitter.