Beheer

Security

Privacy op dure EOS-camera niet gewaarborgd

11 april 2013
De kostbare EOS-1D X camera van Canon blijkt tamelijk eenvoudig te hacken. Hackers kunnen dan ongemerkt door de zoeker kijken, opgeslagen foto's en meta-data bekijken en zelfs wissen of wijzigen.

De kwetsbaarheid van de EOS-1D X berust op de internetkoppeling die de camera heeft om eigenaren in staat te stellen foto's snel te uploaden naar internetlocaties van henzelf of hun opdrachtgevers. Vooral als zo'n upload plaatsvindt via een publiek wifi-net, van bijvoorbeeld een hotel of een koffiebar, is de hack eenvoudig gezet.

Het is dan voor hackers niet alleen erg eenvoudig om te 'zien' en te lezen wat er over de lijn gaat; ook kan de controle over de camera worden overgenomen. De technieken die daarvoor nodig zijn, zijn volgens beveiligingsonderzoeker Daniel Mende of ERNW weinig state of the art, het grootste probleem is dat het tamelijk veel tijd vergt. Zo'n 20 minuten, want de reacties van de camera zijn nogal traag.

'Plug and Play' blijkt ook handig voor hacker

Mende deed zijn verhaal over de high-end camera van Canon tijdens de 'Hack in the Box'-conference, die gisteren in Amsterdam plaatsvond. De gesignaleerde zwakte zou voornamelijk berusten op de ingebouwde UPnP-functionaliteit (Universal Plug and Play), waarmee de camera voor de gebruiker eenvoudig is aan te sluiten op computers en andere digitale apparaten zoals printers en beamers.

Via dat protocol 'helpt' de camera zelf actief om een verbinding tot stand te brengen op basis van HTTP of XML, waarvan ook hackers eenvoudig gebruik kunnen maken. Hoe een en ander en detail in z'n werk gaat wordt uit de doeken gedaan in Mende's presentatie.

Live stream vanaf de camera

"We kunnen niet alleen alle genomen foto's downloaden, we kunnen zelfs min of meer een live stream vanaf de camera genereren" verklaarde Mende tegenover journalisten PCWorld. Mende vraagt af of Canon de hack-mogelijk überhaupt als een fout ziet: "de camera werkt (ook tijdens de hack. red.) precies zoals hij is ontworpen."

Lees meer over
Lees meer over Beheer OP AG Intelligence
Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.