Sommige webcams van discounter Aldi zijn vrij toegankelijk op het web omdat in de fabriek geen wachtwoord werd ingesteld. Het probleem blijft echter niet beperkt tot de discounter: Wereldwijd zijn er talloze IoT-apparaten te vinden die onbeschermd zijn – nu zelfs via zoekmachines.
Het feit dat de Aldi-cams onbeschermd werden geleverd, werd voor het eerst onderkend door de Zwitserse vereniging “Digitale Gesellschaft”. Alle webcams van de merken Maginon IPC-100 AC, IPC-10 AC en IPC-20 C bieden toegang tot het netwerk, zelfs als de gebruiker geen wachtwoord heeft ingesteld – wat bij levering standaard het geval is.
Daarom zijn momenteel duizenden webcams via een IP-adres toegankelijk, waardoor een kijkje in tuinen of kinderkamers mogelijk is. Aangezien sommige camera’s zijn uitgerust met geluid, infrarood en een draaibare kop, kunnen onbevoegde kijkers het beeld zelfs via de webinterface manipuleren.
Echter nog: slimme aanvallers kunnen ook de wachtwoorden voor het WLAN-netwerk uitlezen. De drie camera’s werden vorig jaar verkocht bij Aldi Nord en Süd, evenals in Zwitserland en bij Hofer in Oostenrijk.
Wie een van de camera’s gebruikt, moet beslist de nieuwste firmware (vanaf 1.2) van de fabrikant installeren, een wachtwoord invoeren en ook het WLAN-wachtwoord wijzigen ter beveiliging. Nu de zaak bekend is geworden, zal het zoeken naar de open webcamadressen waarschijnlijk ook sterk toenemen.
De zaak belicht ook een algemeen dilemma in de IoT-wereld: Wanneer zwakke beveiliging samenkomt met onervaren gebruikers en minder intelligente technologie. Omdat de webcams geen automatische firmware-updates krijgen, zullen de camera’s waarschijnlijk lange tijd opvraagbaar blijven door gebruikers zonder technische kennis.
Maar zelfs als IoT-apparaten met wachtwoordbeveiliging worden geleverd, is de beveiliging niet automatisch. Een schokkend aantal producten is uitgerust met standaardlogins zoals “admin / admin”. Gebruikers blijven deze standaardwaarden vervolgens vaak gebruiken.
De omvang van dit probleem kan eigenlijk worden geraden door gebruik te maken van de zoekmachine Shodan. De motor speurt het web af naar IoT-toepassingen. Omdat webcams overduidelijk vaak onbeschermd zijn, is er een aparte sectie aan camera’s gewijd.
Shodan zoekt op het web willekeurig naar IP-adressen met open poorten en detecteert of er een video via deze adressen wordt gestreamd. Op deze manier kunnen gebruikers de webcams oproepen, zelfs zonder de IP-adressen te kennen, en zo wereldwijd in fabriekshallen, kantoren of huiskamers kijken.