Toegang tot deurbelcamera's kan behouden blijven, zelfs na een wachtwoordwijziging, ontdekt Florida Student

Uit een recent onderzoek is gebleken dat gebruikers bij online accounts niet zo dol zijn op het wijzigen van hun wachtwoord, zelfs als er bewijs is dat hun inloggegevens mogelijk zijn aangetast. Ze zijn duidelijk niet bijzonder bekend met de mogelijke gevaren die hieraan verbonden zijn, en velen van hen hebben de 'het zal mij niet overkomen'-mentaliteit aangenomen.

Als het echter gaat om beveiligingscamera's die in hun huizen zijn geïnstalleerd, zullen ze waarschijnlijk veel voorzichtiger zijn. De potentiële impact op de privacy van een persoon is veel duidelijker en de gebruikers zullen zich waarschijnlijk meer bewust zijn van de gevolgen, wat betekent dat ze alle toegangscontroletools zullen gebruiken die ze hebben om ervoor te zorgen dat hun camera's niet toegankelijk zijn voor buitenstaanders. Een ander wetenschappelijk onderzoekspaper laat echter zien dat dit een stuk moeilijker kan zijn dan het lijkt.

Als het gaat om IoT-camera's, betekent een gewijzigd wachtwoord niet noodzakelijkerwijs ingetrokken toegang

De studie is uitgevoerd door Blake Janes, een student aan het Florida Institute of Technology, en is gebaseerd op een zeer aannemelijk scenario. Stel je een stel voor met de naam Alice en Bob, die in een huis wonen dat is uitgerust met op internet aangesloten beveiliging en deurbelcamera's. Beiden hebben toegang tot de live feed van de camera's en kunnen ze bedienen. Op een gegeven moment gingen de twee echter uit elkaar en ging Bob weg. Alice wil ervoor zorgen dat Bob geen toegang meer heeft tot de bewakingsapparatuur, daarom wijzigt ze de wachtwoorden van de camera's of gebruikt ze andere beschikbare tools om ervoor te zorgen dat alleen zij de stream kan zien. Wat Blake Janes ontdekte, is dat Bob met veel moderne camera's zelfs na de wachtwoordwijziging toegang heeft tot de videostream.

Janes nam 19 van de populairste internetcamera's van vorig jaar en hij voerde niet één maar twee experimenten uit. Ten eerste probeerde hij de toegang tot de camera's te beperken door de wachtwoorden te wijzigen, maar ontdekte dat slechts 3 van de 19 apparaten Bob onmiddellijk hadden buitengesloten. Sommige videostreams bleven meer dan 30 minuten beschikbaar nadat het wachtwoord was gewijzigd, en 4 van de camera's gaven Bob zelfs beheerdersrechten om de apparaten te bedienen.

In het tweede scenario werd Bob's account volledig ingetrokken. 13 van de 19 camera's ondersteunen meerdere accounts en ze hebben allemaal niet meteen Bob's toegang tot de feed beperkt. Acht van hen bleven meer dan 30 minuten open.

Het is geen kwetsbaarheid, het is een ontwerpfout

Het authenticatiemechanisme bij deze apparaten is vrij complex. Wanneer Bob inlogt op zijn account, maakt hij verbinding met de API-server van de fabrikant. Van daaruit ontvangt hij een token waarmee hij toegang heeft tot de camerastream die op een andere server wordt gehost. Wanneer Alice het wachtwoord van de camera wijzigt of Bob's account intrekt, verbreekt ze zijn toegang tot de API-server, wat betekent dat Bob geen nieuw token kan krijgen. Hij heeft er echter al een en in sommige gevallen blijft hij nog een tijdje geldig.

Het grootste probleem ligt bij de lange vervaldatum van het token, hoewel Blake Janes andere problemen opmerkt, zoals een gebrek aan melding als het gaat om wie toegang heeft tot de apparaten en een versoepeld toegangscontrolebeleid van de servers zelf. Het experiment toonde aan dat de Nest-camera's van Google met dezelfde problemen kampen, en daarom ontving Janes iets meer dan $ 3.000 als onderdeel van het bugbounty-programma van de zoekmachine-gigant.

Als je echter zijn onderzoekspaper leest, krijg je de indruk dat dit geen bug is, maar een bewuste ontwerpbeslissing. De lange houdbaarheid van het token neemt enige druk weg van de servers en elimineert de noodzaak om voortdurend gebruikersnamen en wachtwoorden in te voeren. Volgens het artikel geven de apps geen constante toegangsmeldingen weer om de zogenaamde waarschuwingsmoeheid te verminderen. Met andere woorden, al deze gebreken zijn het resultaat van de poging van de leveranciers om de apparaten gebruiksvriendelijker te maken.

Het is weer een triomf van bruikbaarheid boven beveiliging. Deze keer gaat het echter om apparaten die ons en onze privacy moeten beschermen en daarom werken sommige leveranciers al aan de problemen die door het onderzoek van Blake Janes naar voren zijn gebracht. Ik hoop dat ze snel oplossingen zullen vinden.