De beveiliging van IP-camera's is nog altijd een heikel punt, toch lijken niet alle leveranciers hiermee te zitten. Beveiligingsonderzoeker Craig Young van Tripwire onderzocht de Loftek Nexus 543 IP-camera.
Young ontdekte dat via path traversal opgeslagen wachtwoorden voor de camera, FTP-servers, mailservers en DynDNS zijn te achterhalen. De camerasoftware blijkt die daarnaast onversleuteld in platte tekst op te slaan. Verder is het mogelijk om via een ongeauthenticeerd GET request de inloggegevens van het WiFi-netwerk te stelen en het "echte" IP-adres van de camera te bekijken.
Young informeerde de fabrikant, die liet weten aan een oplossing te werken. Na tien weken besloot Young Loftek opnieuw te benaderen wanneer de lekken gepatcht zouden zijn. Als antwoord kreeg de onderzoeker een e-mail waarin werd gesteld dat er een programma online was gezet om de camera DynDNS mee te verwijderen. Daarnaast kreeg Young opnieuw het advies om de camera niet aan het internet te hangen.
"Vanwege dit antwoord heb ik besloten dat het gepast is om het lek te openbaren", aldus de onderzoeker. Die adviseert gebruikers om de camera te "dumpen" en als dit geen optie is de camera op een geïsoleerd netwerk te plaatsen en een VPN of SSH-tunnel te gebruiken.
Alles bij de bron; Security