100.000 Hichip-beveiligingscamera's in het VK zijn niet zo veilig, zo blijkt

Internet-of-things-apparaten bestaan al een tijdje en op dit moment kunnen maar weinigen hun nut ontkennen. Om te kunnen functioneren, vertrouwen ze echter op technologische onderlinge verbondenheid - wat meer is dan een zegen - dat hackers kwetsbaarheden in dergelijke apparaten gebruiken om hun slachtoffers eindeloze ellende te bezorgen.

Terwijl high-end apparaten meestal vooraf zijn geïnstalleerd met de nodige beveiligingsmaatregelen om ervoor te zorgen dat de consument wordt beschermd tegen de depredations van ne'er-do-wells. De meeste apparaten die momenteel over de hele wereld worden gebruikt, zijn echter geen high-end apparaten en het lijkt erop dat misbruikbare kwetsbaarheden in de code of hardware van die apparaten elke dag worden ontdekt. Dit is precies het geval bij CVE-2019-1121 9 en CVE-2019-11220 .

Draadloze beveiligingscamera's maken overwegend gebruik van peer-to-peer (P2P) -functies, waarmee gebruikers direct verbinding kunnen maken met hun apparaten wanneer ze online komen. Helaas heeft een maas in de software in iLnkP2P, een P2P-oplossing ontwikkeld door Shenzhen Yunni Technology Company, twee verschillende kwetsbaarheden veroorzaakt. Dit zijn de bovengenoemde CVE-2019-11219 en CVE-2019-11220 .

CVE-2019-11219 verwijst naar een opsommingsprobleem in iLnkP2P waarmee hackers snel apparaten kunnen ontdekken die online en beschikbaar zijn. Vanwege de manier waarop P2P functioneert, kunnen aanvallers vervolgens verbinding maken met elk apparaat dat ze rechtstreeks hebben ontdekt, waardoor firewallbeperkingen volledig worden omzeild.

CVE-2019-11220 verwijst naar een authenticatieprobleem in iLnkP2P waarmee hackers verbindingen tussen apparaten kunnen onderscheppen, waardoor ze effectief de mogelijkheid krijgen om man-in-the-middle-aanvallen uit te voeren. Hackers kunnen profiteren van dit beveiligingslek om toegang te krijgen tot een apparaat en zelfs het wachtwoord te stelen.

Omzeilde firewalls en gestolen apparaatwachtwoorden zijn beide grote deals als het gaat om slimme huisbeveiliging. De ontdekking van deze twee cruciale beveiligingsfouten maakt elke draadloze beveiligingscamera in feite meer kwetsbaar dan een troef. En het echte probleem is dat de kwetsbaarheid een breed scala aan producten treft. Meer dan 100.000 van deze onveilige apparaten zijn alleen al in het VK operationeel vanaf het schrijven van dit artikel.

Om welke apparaten gaat het?

Het is relatief eenvoudig om te controleren of uw slimme beveiligingscamera's worden beïnvloed door CVE-2019-11219 en CVE-2019-11220 . Het enige dat u hoeft te doen, is de achterkant van het apparaat zelf bekijken. Daar moet een speciaal serienummer staan dat bekend staat als een UID . Het bestaat uit een paar letters, gevolgd door een paar cijfers, gevolgd door nog een paar letters. Waar u op moet letten, is de combinatie van de eerste letter. Als u die lettercombinatie tussen de onderstaande vindt, heeft uw apparaat waarschijnlijk last van de hierboven beschreven kwetsbaarheden.

AABB, AACC AID, AJT, AVA, BSIP, CAM CPTCAM, CTW, DFT, DFZ DYNE, EEEE, ELSA, ESN, ESS, EST, EYE, FFFF, GCMN, GGGG, GKW, HDT, HHHH, HRXJ, HVC, HWAA HZD, HZDA, HZDB, HZDC, HZDN, HZDX, HZDY, HZDZ, IIII, IPC, ISRP, JWEV, KSC, MCI, MCIHD, MDI, MDIHD, MEG, MEYE, MGA, MGW, MIC, MICHD, MMMM, MNC, MSE, MSEHD, MSI, MSIHD, MTE, MTEHD, MUI, MUIHD, NIP, NIPHD, NNNN, NPC, NTP, OBJ, OHT, OPCS, OPMS PAR, PARC, PCS, PHP, PIO PIPCAM, PIX, PNP PPPP, PSD , PTP, QHSV, ROSS, SID, SIP, SSAA, SSSS, SXH, TIO, TSD, UID, VIO, VSTD, VSTF, WBT, WBTHD, WHI, WNR, WNS, WNSC, WNV, WXH, WXO, XDBL, XTST , ZES, ZLD, ZSKJ, ZZZZ

Wat moet je hieraan doen?

  1. Als u al een van deze apparaten bezit, moet u weten dat dit een ernstige veiligheidsaansprakelijkheid kan worden. Idealiter zou u ermee moeten stoppen en in een beter product moeten investeren.
  2. Als u overweegt een draadloze beveiligingscamera te kopen, doe dan vooraf wat onderzoek, zorg ervoor dat het model waarnaar u kijkt geen gedocumenteerde beveiligingsfouten heeft en overweeg om niet de goedkoopste te kopen.
June 23, 2020

Laat een antwoord achter