ESET: ‘Bespioneren van gebruiker mogelijk via D-Link camera’

IT-beveiliger ESET waarschuwt voor kwetsbaarheden in een cloud-camera van D-Link. Daardoor zouden onbevoegde beelden van de camera kunnen bekijken. Volgens ESET zijn enkele kwetsbaarheden inmiddels verholpen, maar niet alle. 

Het probleem doet zich voor bij de D-Link DCS-2132L-cloudcamera. De camera vestuurt beelden onversleuteld door. “Zowel de verbinding tussen de camera en de cloud, als die tussen de cloud en de app van de klant is onversleuteld,” vertelt ESET-onderzoeker Milan Fránik

ESET heeft de problemen gemeld bij D-Link. De meeste zijn inmiddels verholpen. Zo was er een probleem met de browserplugin van myDlink services. Die beheert de TCP-tunnel en het afspelen van de livevideo in de browser van de klant. De plug-in is ook verantwoordelijk voor het doorsturen van datastreamverzoeken voor video en audio via een tunnel op een willekeurige port op localhost.

De plugin was kwetsbaar waardoor aanvallers legitieme firmware hadden kunnen vervangen voor een gemanipuleerde versie of een variant met een achterdeur. Die kwetsbaarheid is inmiddels aangepakt via een update. De problemen omtrent de onversleutelde verbinding houden echter nog stand. Op de site van D-Link is meer informatie te vinden over het probleem.