Beveiligingsbedrijf F-secure heeft 18 gigantische lekken gevonden in firmwares van verschillende camera's. Net als in het geval van het lek dat in maart werd ontdekt door Pierre Kim gaat het hier om software die door een Chinese OEM-fabrikant worden gemaakt en door andere fabrikanten voorzien wordt van een eigen label.

Het gaat om de fabrikanten Opticam en Foscam. Bedrijven als 7Links, Ambientcam, Chacon, Ebode, Ivue, Netis, Nexxt, Novodio, Qcam, Sab, Technaxx en Turbox maken er gebruik van. De twee camera's die F-secure uitvoerig heeft getest zijn de Foscam C2 (met firmware 1.11.1.8) en applicatiesoftware 2.21.1.128 en Opticam i5 (met Firmware 1.5.2.11) en applicatie software 2.72.1.32.

Zo lek als een mandje

De lekken zijn zo groot dat er bijna niet meer gesproken kan worden van inbreken. De firmware van de camera's bevatten onder andere een FTP-server waarop zonder wachtwoord kan worden ingelogd, standaard hard-coded wachtwoorden voor de web user interface, RTSP video feed en Back-up bestanden.

Daarnaast hebben de camera's een verborgen, ongedocumenteerde Telnet-functie en is de firmare gevoelig voor remote command injection en dan hebben we het nog niet eens gehad over het op afstand triggeren van reboots, slecht geconfigureerde firewall, geen DDoS/Hammer/login-limiet-bescherming en buffer overflows.

Sommige modellen hebben overigens niet alle functies aan boord waardoor niet alle lekken zullen werken, maar geen van de op dit moment ontdekte camera's is volledig veilig.

Geen workaround of patch

F-Secure heeft een rapport gepubliceerd (PDF). Waarin het gedetailleerd uitlegt wat er allemaal mis is met de firmwares. In het rapport staat verder ook dat het bedrijf contact heeft opgenomen met de fabrikanten maar heeft niks ontvangen. Er is verder ook geen workaround beschikbaar. F-secure heeft daarom ook geen proof of concept uitgebracht.