Beelden bodycams door beveiligingslek te manipuleren

Dat liet onderzoeker Josh Mitchell van securitybedrijf Nuix begin deze week tijdens de DefCon-conferentie in Las Vegas zien. Mitchell onderzocht bodycams van vijf verschillende bedrijven, te weten Vievu, Patrol Eyes, Fire Cam, Digital Ally en CeeSc. Marktleider Axon kwam niet aan bod, al nam dat bedrijf afgelopen mei Vievu over.

Op vier van de vijf type camera’s is het mogelijk om ongemerkt beeldmateriaal te downloaden, aan te passen en vervolgens weer naar de camera te uploaden. Alleen bij de camera van Digital Ally lukte dit niet. Ook is het mogelijk om opgeslagen beeldmateriaal te verwijderen. Verder blijken alle onderzochte camera's de code die ze draaien niet te controleren en wordt bovendien de opgeslagen data niet gevalideerd.

Geen enkele camera maakt gebruik van een cryptografische handtekening om de integriteit van firmware-updates te controleren. Hierdoor kunnen kwaadwillenden discutabele firmware op het systeem installeren, bijvoorbeeld via een gehackte desktop waarop de camera wordt aangesloten. Daarnaast is het mogelijk om op afstand toegang tot de opslag van de camera te krijgen, waardoor een aanvaller malware of een exploit op het apparaat kan plaatsen die bij het synchroniseren met een computer kan worden overgebracht.

Tevens ontbreekt volgens Mitchell een cryptografisch mechanisme om de legitimiteit van de opgenomen videobestanden te bevestigen. Zodra een camera met een cloudserver of een computer synchroniseert is er geen garantie dat het beeldmateriaal dat van de camera afkomstig is, intact is.

Tot slot hebben vier van de vijf bodycams een wifi-radio die identificerende informatie uitzendt. Deze feature is bedoeld om agenten video’s naar de laptops in hun politieauto's te laten uploaden. Maar via een langeafstandsantenne kunnen politieagenten ook eenvoudig worden gevolgd. Met de bodycam van VieVu zou het ook mogelijk zijn om de beelden die de politieagent maakt in een livestream te veranderen. Mitchell ontdekte dat ook anderen dan politieagenten eenvoudig met de camera verbinding kunnen krijgen om de opgenomen beelden te streamen.

De beveiligingsexpert heeft alle fabrikanten geïnformeerd. Sommige leveranciers hebben inmiddels updates uitgebracht, terwijl andere hier nog aan werken, meldt Wired.