DropCam vol lekken en zwakke plekken

De zwakke plekken zijn ontdekt door de beveilingsexperts Patrick Wardle en Colby Moore van Synack, die dit volgende maand op de Def Con 22-hackerconferentie in de VS zullen demonstreren.

DropCam werkt nog met een oudere versie van OpenSSL, waardoor de Heartbleed-bug daarin nog aanwezig is. In combinatie met een verouderde versie van BusyBox, die ook nog eens niet gepatcht is, maakt dat het voor kwaadwillenden mogelijk wachtwoorden te benaderen.

Zodra een onverlaat fysieke toegang heeft tot de camera zelf kan hij daar ook verder mee aan de slag. Zo kon in de camera zelf de seriële poort bereikt worden, waardoor ‘rooting’ van het apparaat mogelijk is. En via een USB-poort kon malware op de camera worden geïnstalleerd.

OS X

Een ander lek in DropCam heeft tot gevolg dat als een systeem onder OS X gebruikt wordt om DropCam te configureren elke gebruiker van die OS X-machine de DropCam-applicatie kan overschrijven nadat hij de configuratie-utility heeft geïnfecteerd.

DropCam lijkt een typisch voorbeeld van een 'thing' voor het Internet of Things waarin slecht beveiligde embedded software in zit die het gebruik van IP-apparatuur in het IoT onveilig maakt.

Vorige maand maakte DropCam bekend dat het voor 555 miljoen dollar overgenomen zal worden door Nest Labs van Google.