June 7, 2017 |

Flera säkerhetsluckor i populära IP-kameror – öppnar enheter och nätverk åt hackare

Helsingfors, Finland – 7 juni, 2017: F-Secure har upptäckt flera sårbarheter i två IP-kameror tillverkade av Foscam. Sårbarheterna gör det möjligt för en angripare att ta kontroll över enheten på distans – så länge den är uppkopplad mot internet – och inte bara spionera på det som spelas in, utan även både ladda upp och […]

Helsingfors, Finland – 7 juni, 2017: F-Secure har upptäckt flera sårbarheter i två IP-kameror tillverkade av Foscam. Sårbarheterna gör det möjligt för en angripare att ta kontroll över enheten på distans – så länge den är uppkopplad mot internet – och inte bara spionera på det som spelas in, utan även både ladda upp och ladda ner filer från den inbyggda servern. Om enheten är uppkopplad mot ett lokalt nätverk kan angriparen få tillgång till nätverket och andra anslutna enheter – och det går dessutom att utnyttja kameran för att utföra överbelastningsattacker och andra otrevligheter.

”De här sårbarheterna är i princip så allvarliga de kan bli”, säger Harry Sintonen, Senior Security Consultant på F-Secure, som är den som upptäckt sårbarheterna. ”En angripare kan antingen utnyttja dem en och en, eller dra nytta av flera sårbarheter samtidigt för att på så sätt få än större rättigheter på enheten och på nätverket.”

Upptäckten är den senaste i en lång rad av internetuppkopplade prylar, eller smarta enheter, som inte är tillräckligt säkra för att stå emot just den typ av attacker som sker kontinuerligt på internet. Smarta bilar, övervakningskameror, vattenkokare och routrar är bara några exempel på sådant som visat sig vara bedrövligt osäkra. Problemen blev ännu större i och med botnet-varianten Mirai, som bland annat utnyttjade uppkopplade kameror och tillhörande inspelningslösningar för att genomföra den attack som låg bakom de stora driftstörningar som skakade internet i oktober förra året – historiens största attack mot infrastrukturen på internet.

Totalt har Harry Sintonen och säkerhetsforskarna på F-Secure upptäckt 18 olika sårbarheter, vilket innebär att en angripare har en stor palett av sårbarheter att utnyttja för att ta kontroll över enheten. Osäkra och hårdkodade inloggningsuppgifter ger enkelt administratörsrättigheter. Mjukvaran saknar en lösning för att begränsa tillgången till de allra viktigaste filerna och filmapparna, vilket gör att angriparen kan modifiera dem och lägga in egna instruktioner och kommandon. En angripare kan också använda tekniker som cross-site scripting, buffer overflow och klassiska brute force lösenordsattacker för att till slut få total kontroll över enheten, och därmed även tillgång till nätverket den är uppkopplad på.

”När man har utvecklat de här produkterna har man helt ignorerat säkerhetsarbetet”, säger Janne Kauhanen, cybersäkerhetsexpert på F-Secure. ”Tillverkaren bryr sig framförallt om att se till att produkten fungerar och få ut den på marknaden. Att man helt struntat i säkerheten innebär att man sätter sina kunders säkerhet på spel. Det finns ett visst mått av ironi i det här, eftersom det här är prylar som marknadsförs som sätt att öka säkerheten och tryggheten i den fysiska världen.”

Foscam är en kinesisk tillverkare som har ett stort antal modeller i sin produktportfölj, men som också tillverkar enheter åt andra – exempelvis OptiCam. Harry Sintonen har tittat närmare på två modeller, OptiCam i5 HD och Foscam C2. Han anser att det är troligt att många av de upptäckta sårbarheterna även finns i andra produkter som Foscam tillverkar.

Sintonen rekommenderar att de här enheterna används uppkopplade på separata nätverk, som inte är öppna mot internet. ”Att ändra det förinställda lösenordet är något som man alltid bör göra med sina enheter, men tyvärr finns det inloggningsuppgifter som är hårdkodade i de här enheterna och gör det möjligt för en angripare att kringgå lösenordet, även om det ändrats”, säger han.

F-Secure berättade om de upptäckta sårbarheterna för Foscam för flera månader sedan, men än så länge har tillverkaren inte släppt någon lösning.

Mer information om sårbarheterna och råd om hur man bäst minimerar riskerna finns i den fullständiga rapporten.

Mer information:
IP-kameror visar varför det är så svårt att säkra Internet of Things
Komprometterade kameror: Hur IoT kan sabotera din konkurrenskraft
Video: Connected, And Compromised: Insecure IoT and Your Business

Presskontakt:
Adam Erlandsson
Cohn & Wolfe för F-Secure
adam.erlandsson@cohnwolfe.com
+46 735 18 24 80

Om F-Secure

Ingen kan cybersäkerhet som F-Secure. Under de senaste tre decennierna har F-Secure varit ledande inom innovation, samtidigt som man skyddar tiotusentals företag och miljoner människor. Företagets erfarenhet inom klientskydd och upptäckt och hantering av incidenter saknar motstycke och F-Secure skyddar företag och konsumenter från allt från avancerade cyberattacker och dataintrång till utspridda ransomware-infektioner. F-Secure erbjuder sofistikerad teknologi som kombinerar styrkan hos maskininlärning med den mänskliga expertis som finns i deras säkerhetslabb som uppmärksammats världen över i ett koncept de kallar Live Security. F-Secures säkerhetsexperter har deltagit i fler europeiska utredningar av cybersäkerhetsbrott än något annat företag och deras produkter säljs över hela världen av fler än 200 bredbandsleverantörer och mobiloperatörer samt tusentals återförsäljare.

Grundat 1988, F-Secure är listat på NASDAQ OMX Helsinki Ltd.

f-secure.com | twitter.com/fsecure | facebook.com/f-secure

Senaste händelser
Pressarkiv
Välj år

Senaste pressmeddelandena

September 13, 2018

Sårbarhet i fast programvara hos moderna datorer avslöjar krypteringsnycklar

Experter anser att dagens säkerhetsåtgärder inte räcker till för att skydda data i förlorade eller stulna bärbara datorer

May 17, 2018

F-Secure kombinerar det bästa av människa och maskin i ny säkerhetslösning

I nya Rapid Detection & Response har F-Secure kombinerat de fördelar artificiell intelligens har att erbjuda med mänsklig expertis för att ge företag och organisationer viktiga fördelar i kampen mot riktade attacker.

April 25, 2018

Forskare från F-Secure: Huvudnycklar till hotell kan skapas ur “tomma intet”

Forskare har upptäckt att elektroniska nyckelkort hos globala hotellkedjor och andra hotell världen över kan hackas för att få tillgång till vilket rum som helst på anläggningen.

April 9, 2018

F-Secure lär ut digitalt självförsvar till demokratikämpar på Defenders’ Days

Tillsammans med Civil Rights Defenders ska F-Secures säkerhetsexperter dela med sig av konkreta tips och handfasta råd under årets Defenders’ Days.

%d bloggers like this: