Flera säkerhetsluckor i populära IP-kameror
En av de undersökta kamerorna. Foto: F-Secure.
Säkerhetsföretaget F-Secure har granskat två övervakningskameror och funnit 18 säkerhetshål som hackare skulle kunna nyttja för att ta kontroll över enheterna. De två kamerorna ifråga är från kinesiska Foscam: OptiCam i5 HD och Foscam C2. Foscam tillverkar även kameror åt andra företag.
Sårbarheterna gör det möjligt för en angripare att ta kontroll över enheten på distans när den är uppkopplad mot nätet. Därefter kan de exempelvis spionera på det som spelas in eller ladda upp och ner filer från den inbyggda servern.
- Om enheten är uppkopplad mot ett lokalt nätverk kan angriparen dessutom få tillgång till nätverket och andra anslutna enheter – och det går dessutom att utnyttja kameran för att utföra överbelastningsattacker och andra otrevligheter, säger Janne Kauhanen, cybersäkerhetsexpert hos F-Secure.
Trots att det gått flera månader sedan F-Secure uppmärksammade Foscam på bristerna har inga åtgärder satts in och därför väljer nu säkerhetsföretaget att uppmärksamma allmänheten.
- Tillverkaren bryr sig framför allt om att se till att produkten fungerar och få ut den på marknaden. Att man helt struntat i säkerheten innebär att man sätter sina kunders säkerhet på spel. Det finns ett visst mått av ironi i det här, eftersom det här är prylar som marknadsförs som sätt att öka säkerheten och tryggheten i den fysiska världen, säger Janne Kauhanen.
Enligt F-Secure är det inte ovanligt med säkerhetsbrister i smarta hem-produkter, snarare vanligt. De efterlyser därför någon form av säkerhetsmärkning där de produkter som når upp till en godkänd nivå kan klassas och märkas så att konsumenterna kan göra bättre val.
– Iot-marknaden drivs fortfarande inte av säkerhet tillnärmelsevis så mycket som den borde. Jag har granskat många smarta enheter, och fortfarande inte hittat en enda som uppfyller de informations- och säkerhetskrav man som konsument borde ställa, säger Harry Sintonen, säkerhetsexpert hos F-Secure.
Tanken är att en märkning skulle sätta press på tillverkarna att förbättra säkerheten.
F-Secures rekommendation är tills vidare att du använder den här typen av enheter på separata nätverk som inte är uppkopplade mot nätet. Samt att du ändrar det förinställda lösenordet - även om det för många hackare är enkelt att kringgå lösenord så är det viktigt att göra detta.
- Att ändra det förinställda lösenordet är något som man alltid bör göra med sina enheter, men tyvärr finns det inloggningsuppgifter som är hårdkodade i de här enheterna och gör det möjligt för en angripare att kringgå lösenordet, även om det ändrats, säger Harry Sintonen.
