Eerder dit jaar werd een grote kwetsbaarheid in Insta360-camerasoftware ontdekt door gebruikers op Reddit. In het kort, het liet iedereen verbinding maken met elke Insta360 camera en de foto’s downloaden. Zeven maanden later en een groot deel van het probleem is nog steeds niet opgelost.
De Exploit onthuld op Reddit
In januari publiceerde Reddit-gebruiker cmdr_sidhartagautama een gedetailleerd overzicht van een kwetsbaarheid die hij ontdekte in de Insta360 One X2-camera. Hij realiseerde zich dat de camera uit de doos altijd een Wi-Fi-signaal uitzond met de naam “ONE X2 XXXXXX.OSC”, waarbij de “X” staat voor de laatste tekens van het serienummer van een camera.
Iedereen binnen het bereik van de camera kon dit netwerk ontdekken op zijn laptop of smartphone, maar de meesten maakten zich waarschijnlijk geen zorgen omdat er nog steeds een wachtwoord voor nodig was. Maar cmdr_sidhartagautama wees erop dat het wachtwoord voor Insta360-camera’s niet alleen altijd hetzelfde is op elke camera, maar ook niet kan worden gewijzigd.
“Deze camera heeft meer gaten dan Zwitserse kaas. Eerlijk gezegd kan ik me niet herinneren dat ik een consumentenproduct – met een bereik zo groot als Insta360 – zo onveilig heb gezien als dit. Dit is beginner CTF niveaus van gebroken… en op meerdere plaatsen,” schrijft hij.
In dat verslag was cmdr_sidhartagautama in staat om verbinding te maken met de camera en alle inhoud erop te zien met behulp van een computerbrowser en een specifieke URL. Hij demonstreerde ook de mogelijkheid om root-toegang tot de camera te krijgen via Wi-Fi.
“Het zou voor een hacker triviaal zijn om een drive-by aanval uit te voeren op deze camera’s, waarbij malware op de SD-kaart wordt geïnjecteerd die later door je werk/thuiscomputer wordt gelezen… in feite ben ik er vrij zeker van dat dit wormable zou kunnen zijn, waarbij de ene camera wordt gebruikt om een andere aan te vallen in een cascade-effect,” beweert cmdr_sidhartagautama.
Hoewel het rapport nu maanden oud is, werd de kwestie onder de aandacht gebracht PetaPixel’s aandacht eind vorige week toen een nieuwe Reddit post opmerkte dat het probleem nog niet was opgelost door Insta360 ondanks het feit dat het in januari onder de aandacht van het bedrijf was gebracht.
Insta360 zegt dat het eraan werkt
PetaPixel heeft contact opgenomen met Insta360 voor commentaar.
“We zijn ons er inderdaad van bewust en hebben de afgelopen maanden gewerkt aan het updaten van de firmware en app op basis van de gebruikersfeedback uit onze community”, aldus een Insta360-vertegenwoordiger.
“Op dit moment is de list_directory al beëindigd en is het niet meer mogelijk om via de browser toegang te krijgen tot de inhoud van de camera. We zijn ook bezig met het updaten van de app en firmware om gebruikers hun eigen wachtwoord te laten wijzigen om de veiligheid te verbeteren. Deze verandering zal aan gebruikers worden aangekondigd in de app/firmware release notes zodra deze is doorgevoerd.
“We zullen ervoor zorgen dat we de app/firmware-update binnen een redelijk tijdsbestek opvolgen en implementeren.”
De Firmware Fix kan niet voldoende zijn
De mogelijkheid om de Wi-Fi naam en het wachtwoord van de camera te wijzigen zou nuttig zijn, maar volgens cmdr_sidhartagautama zal het de problemen niet helemaal oplossen.
“Het is door sommige gebruikers gesuggereerd dat alleen het plaatsen van een door de gebruiker gekozen (of gerandomiseerd) Wi-Fi-wachtwoord het probleem zou oplossen. Dat is niet het geval,” zeggen ze.
“En de reden is dat de API die de camera gebruikt geen authenticatie doet op het verzoek, wat betekent dat elke app die op het apparaat is geïnstalleerd (inclusief een kwaadaardige app waarvan je niet weet dat die er is om je video’s/foto’s te stelen of malware op je SDCARD te installeren) een HTTP-verzoek kan doen naar het IP van de camera en toegang kan krijgen tot die API, als je verbonden bent met de camera.”
Een andere Redditor, bmajkii, is het daarmee eens.
“Ik snap niet zo goed waarom mensen de kwestie bagatelliseren, zowel hier als in de oorspronkelijke thread. De gevonden fouten zijn ernstige veiligheidsrisico’s. Elk fatsoenlijk productbedrijf met veiligheidsintegriteit in het achterhoofd zou al fixes/mitigation plannen hebben voordat je zulke posts op Reddit had gezien (omdat ze de juiste kanalen hebben voor het melden van veiligheidslekken),” schrijven ze.
“Hardcoded Wi-Fi wachtwoord is slechts een van de problemen. Zelfs als het toegestaan zou zijn om het te veranderen, zou je nog steeds het wachtwoord veranderen via een Bluetooth API/eindpunt dat waarschijnlijk nog steeds kwetsbaar is. Vanuit mijn perspectief is het draaien van telnet service (met eenvoudige root toegang) op productie firmware een lachertje.”
Sommigen beweerden dat het niet mogelijk was om de camera’s met twee apparaten tegelijk te verbinden.
“Aan mensen die zeggen dat je geen twee apparaten tegelijk via wifi met de camera kunt verbinden: dat kan wel en dat heb ik net gedaan”, schrijft bmajkii.
“Stel je voor dat je op vakantie bent en door een druk stadscentrum slentert terwijl je wat beelden opneemt via je camera (voor zover ik heb gecontroleerd zijn alle “consumenten” camera’s ale kwetsbaar). Het enige wat een aanvaller nodig heeft om je telefoon/PC te infecteren met malware is om daar op een bankje te gaan zitten met een laptop en een python script te draaien en je probeert later een bestand te openen dat op de SD kaart staat waarvan je dacht dat het een video was die je had opgenomen.”
Image credits: Koptekst foto door Ryan Mense voor PetaPixel.