Veel verkochte IP-camera op afstand af te luisteren

Een populaire IP-camera is door een kwetsbaarheid in het apparaat op afstand af te luisteren. Het betreft de Amcrest IP2M-841B, één van de best verkopende dome-camera’s op Amazon.

In werkelijkheid gaat het om een camera van fabrikant Dahua, die onder een andere naam wordt verkocht.

Zonder authenticatie

Beveiligingsonderzoeker Jacob Baines van securitybedrijf Tenable kwam erachter dat het mogelijk is om gebruikers op afstand af te luisteren. De audio blijkt zonder authenticatie via HTTP toegankelijk te zijn. Als de camera via internet te benaderen is, is het eenvoudig om met de audiostream mee te luisteren. Slechts door het opgeven van het IP-adres van de camera in VLC media player, kan de audiostream onderschept worden.

Update

VLC herkent de container van de audiostream niet, maar de onderzoeker schreef een script waarna de audio via FFplay te beluisteren is. Baines vond meer dan 117.000 IP-camera’s die via internet te benaderen zijn. Amcrest werd op 8 mei van dit jaar op de hoogte gebracht over de kwetsbaarheid. Afgelopen maandag bracht het bedrijf een beveiligingsupdate uit. Gebruikers wordt aangeraden om de update te installeren en hun camera’s niet met het internet te verbinden.

Aanmelden voor onze nieuwsbrief