Eerder dit jaar ontdekten gebruikers op Reddit een groot beveiligingslek in de Insta360-camerasoftware. Kortom, iedereen kan verbinding maken met elke Insta360-camera en foto’s downloaden. Zeven maanden later is het grootste deel van de zaak nog steeds niet opgelost.
Exploit gedetecteerd op Reddit
In januari, Reddit-gebruiker cmdr_sidhartagautama gepubliceerd gedetailleerde distributie Een van de mazen die hij ontdekte in de Insta360 One X2-camera. Hij realiseerde zich dat de camera uit de doos altijd een wifi-signaal zou uitzenden met de naam “ONE X2 XXXXXX.OSC”, waarbij de “X” staat voor de laatste tekens van het serienummer van een camera.
Iedereen binnen het bereik van de camera kon dit netwerk op hun laptop of smartphone ontdekken, maar waarschijnlijk maakten ze zich geen zorgen omdat er nog steeds een wachtwoord nodig was. Maar cmdr_sidhartagautama wees erop dat het wachtwoord voor Insta360-camera’s niet altijd hetzelfde is op elke camera, maar het kan ook niet worden gewijzigd.
“Deze camera heeft meer gaten dan Zwitserse kaas. Eerlijk gezegd kan ik me niet herinneren dat ik een consumentenproduct – met zoveel bereik als de Insta360 – zo onveilig heb gezien. Dit zijn CTF-niveaus op instapniveau van de kapotte … en op meerdere plaatsen ,” hij schrijft.
In dit rapport kon cmdr_sidhartagautama verbinding maken met de camera en alle inhoud erop bekijken met behulp van een computerbrowser en specifieke URL. Ook demonstreerde de mogelijkheid om de camera te rooten via Wi-Fi.
“Het zou triviaal zijn voor een hacker om een auto-aanval op deze camera’s uit te voeren, door malware op de SD-kaart te injecteren die later door een werk-/thuiscomputer zou worden gelezen… Sterker nog, ik weet zeker dat dit een virus kan zijn , een camera gebruiken om anderen aan te vallen met een trapsgewijze effect”, beweert cmdr_sidhartagautama.
Hoewel het rapport nu maanden oud is, is het probleem gepresenteerd betapixel Let op eind vorige week toen Nieuw Reddit-bericht Hij merkte op dat Insta360 nog moet worden gerepareerd, ondanks dat het in januari onder de aandacht van het bedrijf is gebracht.
Insta360 zegt dat het eraan werkt
betapixel Insta360 is bereikt voor commentaar.
“We zijn ons hier al van bewust en hebben de firmware en app de afgelopen maanden bijgewerkt op basis van gebruikersfeedback van onze community”, zegt een Insta360-vertegenwoordiger.
“Momenteel is de list_directory al beëindigd en is de camera-inhoud niet langer toegankelijk via de browser. We werken ook de app en firmware bij zodat gebruikers hun wachtwoord kunnen wijzigen om de veiligheid te verbeteren. Deze wijziging zal aan gebruikers worden aangekondigd in de app/ firmware release-opmerkingen eenmaal geïmplementeerd.
“We zullen ervoor zorgen dat de app/firmware-update binnen een redelijke termijn wordt opgevolgd en geïmplementeerd.”
Firmware-reparatie is misschien niet genoeg
De mogelijkheid om de wifi-naam en het wachtwoord van de camera te wijzigen kan handig zijn, maar volgens cmdr_sidhartagautama zullen de problemen niet volledig worden opgelost.
“Sommige gebruikers hebben gesuggereerd dat het probleem zou worden opgelost door simpelweg een door de gebruiker geselecteerd (of willekeurig) wifi-wachtwoord in te voeren”, zeggen ze.
De reden is dat de API die door de camera wordt gebruikt geen authenticatie uitvoert op het verzoek, wat betekent dat elke applicatie die op het apparaat is geïnstalleerd (inclusief een kwaadaardige applicatie waarvan je niet weet dat ze er is om je video’s/foto’s te stelen of malware te installeren op uw sdcard ) een HTTP-verzoek doen aan het IP-adres van de camera en toegang krijgen tot deze API, als u verbonden bent met de camera.”
een andere redacteur, bedanktkeurt goed.
“Ik weet niet precies waarom mensen het hier en in de originele thread licht opvatten. De gebreken blijken ernstige beveiligingsrisico’s te zijn. Alle fatsoenlijke productbedrijven met beveiligingsintegriteit in het achterhoofd zullen oplossingen / mitigatieplannen hebben voordat je dergelijke berichten ziet op Reddit (omdat ze de juiste kanalen hebben) om beveiligingsproblemen te melden), schreven ze.
“Het wifi-wachtwoord met harde codering is slechts een van de problemen. Zelfs als het mag worden gewijzigd, zul je het wachtwoord nog steeds wijzigen via een Bluetooth-API / eindpunt dat nog steeds kwetsbaar kan zijn. Naar mijn mening draait telnet ( met gemakkelijke root-toegang) op firmware van productiekwaliteit is een grap.”
Sommigen hebben beweerd dat camera’s niet tegelijkertijd met twee apparaten kunnen communiceren.
bmajkii schrijft: “Voor mensen die zeggen dat je niet twee apparaten tegelijkertijd via wifi met de camera kunt verbinden: je kunt en je hebt het gewoon gedaan.”
“Stel je voor dat je op vakantie bent en door een druk stadscentrum loopt terwijl er camerabeelden worden opgenomen (voor zover ik alle kwetsbare ‘consumenten’-camera’s heb gecontroleerd). Alles wat nodig is voor een potentiële aanvaller om je telefoon/computer te infecteren met malware is om op een bankje te zitten met een apparaat. Een laptop en een Python-script draaien en proberen later enkele bestanden op de SD-kaart te openen waarvan je denkt dat het een video is die je hebt opgenomen.
Afbeeldingscredits: Bannerafbeelding door Ryan Mense voor PetaPixel.
“Bekroonde schrijver. Social media-specialist. Introvert. Ongeneeslijke twitterfan. Organisator. Fervent popcultuurliefhebber.”