June 7, 2017 |

Flera säkerhetsluckor i populära IP-kameror – öppnar enheter och nätverk åt hackare

Helsingfors, Finland – 7 juni, 2017: F-Secure har upptäckt flera sårbarheter i två IP-kameror tillverkade av Foscam. Sårbarheterna gör det möjligt för en angripare att ta kontroll över enheten på distans – så länge den är uppkopplad mot internet – och inte bara spionera på det som spelas in, utan även både ladda upp och […]

Helsingfors, Finland – 7 juni, 2017: F-Secure har upptäckt flera sårbarheter i två IP-kameror tillverkade av Foscam. Sårbarheterna gör det möjligt för en angripare att ta kontroll över enheten på distans – så länge den är uppkopplad mot internet – och inte bara spionera på det som spelas in, utan även både ladda upp och ladda ner filer från den inbyggda servern. Om enheten är uppkopplad mot ett lokalt nätverk kan angriparen få tillgång till nätverket och andra anslutna enheter – och det går dessutom att utnyttja kameran för att utföra överbelastningsattacker och andra otrevligheter.

”De här sårbarheterna är i princip så allvarliga de kan bli”, säger Harry Sintonen, Senior Security Consultant på F-Secure, som är den som upptäckt sårbarheterna. ”En angripare kan antingen utnyttja dem en och en, eller dra nytta av flera sårbarheter samtidigt för att på så sätt få än större rättigheter på enheten och på nätverket.”

Upptäckten är den senaste i en lång rad av internetuppkopplade prylar, eller smarta enheter, som inte är tillräckligt säkra för att stå emot just den typ av attacker som sker kontinuerligt på internet. Smarta bilar, övervakningskameror, vattenkokare och routrar är bara några exempel på sådant som visat sig vara bedrövligt osäkra. Problemen blev ännu större i och med botnet-varianten Mirai, som bland annat utnyttjade uppkopplade kameror och tillhörande inspelningslösningar för att genomföra den attack som låg bakom de stora driftstörningar som skakade internet i oktober förra året – historiens största attack mot infrastrukturen på internet.

Totalt har Harry Sintonen och säkerhetsforskarna på F-Secure upptäckt 18 olika sårbarheter, vilket innebär att en angripare har en stor palett av sårbarheter att utnyttja för att ta kontroll över enheten. Osäkra och hårdkodade inloggningsuppgifter ger enkelt administratörsrättigheter. Mjukvaran saknar en lösning för att begränsa tillgången till de allra viktigaste filerna och filmapparna, vilket gör att angriparen kan modifiera dem och lägga in egna instruktioner och kommandon. En angripare kan också använda tekniker som cross-site scripting, buffer overflow och klassiska brute force lösenordsattacker för att till slut få total kontroll över enheten, och därmed även tillgång till nätverket den är uppkopplad på.

”När man har utvecklat de här produkterna har man helt ignorerat säkerhetsarbetet”, säger Janne Kauhanen, cybersäkerhetsexpert på F-Secure. ”Tillverkaren bryr sig framförallt om att se till att produkten fungerar och få ut den på marknaden. Att man helt struntat i säkerheten innebär att man sätter sina kunders säkerhet på spel. Det finns ett visst mått av ironi i det här, eftersom det här är prylar som marknadsförs som sätt att öka säkerheten och tryggheten i den fysiska världen.”

Foscam är en kinesisk tillverkare som har ett stort antal modeller i sin produktportfölj, men som också tillverkar enheter åt andra – exempelvis OptiCam. Harry Sintonen har tittat närmare på två modeller, OptiCam i5 HD och Foscam C2. Han anser att det är troligt att många av de upptäckta sårbarheterna även finns i andra produkter som Foscam tillverkar.

Sintonen rekommenderar att de här enheterna används uppkopplade på separata nätverk, som inte är öppna mot internet. ”Att ändra det förinställda lösenordet är något som man alltid bör göra med sina enheter, men tyvärr finns det inloggningsuppgifter som är hårdkodade i de här enheterna och gör det möjligt för en angripare att kringgå lösenordet, även om det ändrats”, säger han.

F-Secure berättade om de upptäckta sårbarheterna för Foscam för flera månader sedan, men än så länge har tillverkaren inte släppt någon lösning.

Mer information om sårbarheterna och råd om hur man bäst minimerar riskerna finns i den fullständiga rapporten.

Mer information:
IP-kameror visar varför det är så svårt att säkra Internet of Things
Komprometterade kameror: Hur IoT kan sabotera din konkurrenskraft
Video: Connected, And Compromised: Insecure IoT and Your Business

Presskontakt:
Adam Erlandsson
Cohn & Wolfe för F-Secure
adam.erlandsson@cohnwolfe.com
+46 735 18 24 80

Om F-Secure

Ingen kan cybersäkerhet som F-Secure. Under de senaste tre decennierna har F-Secure varit ledande inom innovation, samtidigt som man skyddar tiotusentals företag och miljoner människor. Företagets erfarenhet inom klientskydd och upptäckt och hantering av incidenter saknar motstycke och F-Secure skyddar företag och konsumenter från allt från avancerade cyberattacker och dataintrång till utspridda ransomware-infektioner. F-Secure erbjuder sofistikerad teknologi som kombinerar styrkan hos maskininlärning med den mänskliga expertis som finns i deras säkerhetslabb som uppmärksammats världen över i ett koncept de kallar Live Security. F-Secures säkerhetsexperter har deltagit i fler europeiska utredningar av cybersäkerhetsbrott än något annat företag och deras produkter säljs över hela världen av fler än 200 bredbandsleverantörer och mobiloperatörer samt tusentals återförsäljare.

Grundat 1988, F-Secure är listat på NASDAQ OMX Helsinki Ltd.

f-secure.com | twitter.com/fsecure | facebook.com/f-secure

Pressarkiv
Välj år

Senaste pressmeddelandena

February 18, 2020

Ny rapport visar att internetanvändare är överväldigade av oro för ID-stöld

En rapport från F-Secure visar att konsumenter är mycket oroliga för ID-stölder, F-Secure lanserar ett kostnadsfritt verktyg som hjälper människor att hitta utsatta data En ny rapport från cybersäkerhetsleverantören F-Secure visar att en stadig ström av stora dataintrång har lett till att majoriteten av konsumenter är oroliga för online-brott som leder till identitetsstöld och kapning […]

December 18, 2019

Populärt trådlöst presentationssystem hackas under 60 sekunder

F-Secures säkerhetskonsulter varnar för att de enheter som vi litar blint på även är angriparnas favoritmål. Konsulter hos cybersäkerhetsleverantören F-Secure har upptäckt flera brister i ett populärt trådlöst presentationssystem, varav vissa kan utnyttjas på mindre än 60 sekunder. Angripare kan använda bristerna för att avlyssna och manipulera information under presentationer, stjäla lösenord och annan konfidentiell […]

December 13, 2019

Säkerhetsproblem hos smart lås lämnar dörrar öppna för angripare

Ett designfel som har upptäckts i smart låset, KeyWe Smart Lock, belyser den pågående kampen för att skapa enheter som är både smarta och säkra. Konsulter hos cybersäkerhetsleverantören F-Secure har upptäckt en designbrist hos ett smart lås, vilket angripare kan utnyttja för att enkelt få åtkomst till enheten. Låsets oförmåga att ta emot uppdateringar av […]

December 2, 2019

Därför blir AI omänsklig

F-Secures nya forskningsprojekt tar inspiration från naturen för att ta utnyttjandet av AI till en ny nivå. Cybersäkerhetsleverantören F-Secure har lanserat ett nytt forskningsprojekt för att vidareutveckla de decentraliserade mekanismerna för artificiell intelligens (AI) som för närvarande används inom deras detektions- och responsteknologi. Initiativet, som kallas Project Blackfin, strävar efter att utnyttja tekniker för kollektiv […]

%d bloggers like this: