icon-menu logo_footer preds symbol-afrader symbol-bestekoop symbol-besteuittest

Beveiligingscamera’s blijken onveilig

In onze nieuwste test van beveiligingscamera’s testten we ook de beveiliging van de camera’s zelf. Modellen van Alecto, D-Link en Eminent bleken niet goed beschermd tegen hackers. 
peter kulche

Peter Kulche   Expert ElektronicaGepubliceerd op:1 juli 2019

Test outdoorbeveiligingscamera's

In de test outdoorbeveiligingscamera’s keken we naar 12 modellen die je aan de buitengevel hangt om je achtertuin, garage of voordeur in de gaten te houden. Bij beweging sturen ze een seintje naar je telefoon. Je kunt dan vanaf je telefoon inloggen op de camera om te zien wie er door je tuin loopt of voor je deur staat. 

Dat is heel handig, maar er zit ook een risico aan. Elk apparaat dat online is, maar niet goed beveiligd, kan namelijk gehackt worden. Dit bleek het geval bij de Alecto DVC-215IP, de D-Link DCS-2670L en de Eminent EM6360.

Als consument heb je recht op veilige slimme apparaten. Wij strijden voor slimme apparaten die veilig zijn én blijven. Lees meer over onze actie Slimme apparaten moeten veilig zijn

Camera op zwart

In onze video Beveiligingscamera gehackt toont een ethisch hacker (IT-specialist die voor bedrijven beveiligingssystemen en netwerken test) hoe hij de kwetsbaarheden die wij aantroffen in de genoemde D-Link en de Eminent gebruikt om beide apparaten op zwart te zetten. Dat vinden inbrekers natuurlijk heel handig.

Beeld onderschept 

Eminent_cameraBij de Eminent EM6360 onderschept de ethisch hacker ook vrij eenvoudig het camerabeeld. Gezien je privacy is dat bij een buitencamera die in je achtertuin hangt geen prettig idee. Ook kunnen inbrekers via de camera bestuderen wanneer iemand wel of niet thuis is, zodat ze hun slag kunnen slaan als er niemand thuis is. 

Alecto

Ook de Alecto DVC-215IP kon worden gehackt door onze ethische hacker, maar dat lukte pas na de video-opname. De hacker meldt dat hij het beheerderswachtwoord van de Alecto kan resetten en zo de controle overnemen.

Alecto heeft inmiddels nieuwe firmware beschikbaar gesteld, die de door ons gemelde kwetsbaarheden zou verhelpen. Deze vernieuwing hebben we nog niet getest. 

Wat gaat er mis?

De 3 camera’s die slecht scoren op veiligheid ondersteunen UPnP. Dit zijn oude netwerktechnieken die apparaten in een thuisnetwerk bereikbaar maken vanaf het publieke internet. Als UPnP actief is en de camera niet goed beveiligd, ontstaan er zo allerlei risico’s. 

Voorwaarde voor een hack

Voor het uitbuiten van kwetsbaarheden van een camera moet de hacker wel het IP-adres van de gebruiker weten. Volgens experts is dat snel te vinden via speciale zoekmachines als Shodan.io, die apparaten indexeren die aan het internet gekoppeld zijn.

Een andere hackmethode is de bewoner naar een website te lokken, bijvoorbeeld door een klassenfoto te beloven. Als beheerder van zo’n site kan de hacker het IP-adres van elke bezoeker opzoeken. Iemand die voor e-mail een geïnstalleerd e-mailprogramma in plaats van de browser gebruikt, stuurt ook altijd zijn IP-adres mee.

Onversleuteld

In onze test ontdekten we nog een andere onveiligheid. De apps van enkele camera’s versturen gegevens zoals je IP-adres of camera-ID onversleuteld, terwijl versleuteling een good practice is voor op internet aangesloten apparaten. Naast de 3 genoemde camera's doen in ieder geval de Ezviz, Foscam, Klikaanklikuit en Smartwares dit. 

Ook de wachtwoordeisen van veel camera’s in de test waren ondermaats. Die van de Eminent was helemaal bedroevend. Een wachtwoord van 1 teken volstaat daarbij al.

D-Link en Eminent fixen problemen (nog) niet

We hebben Alecto, D-Link en Eminent 2 maanden geleden geïnformeerd over de gevonden kwetsbaarheden. De bedrijven reageerden als volgt. 

  • Alecto heeft voor de DVC-215IP nieuwe firmware uitgebracht die de kwetsbaarheden zou verhelpen. We hebben deze echter nog niet getest. De software zou vanzelf binnenkomen als de camera aan internet gekopeld is. 
  • D-Link heeft op dit moment nog geen update die de kwetsbaarheid van Upnp oplost. Zolang die er niet is, is het camerabeeld van de DCS-2670L door hackers uit te schakelen. 
  • Voor Eminent geldt hetzelfde. Het heeft ook nog geen nieuwe software voor de EM6360 uitgebracht die het probleem verhelpt. Hackers kunnen op dit moment dus nog steeds op afstand het camerabeeld overnemen, of het beeld bevriezen. 

Slecht af bij D-link en Eminent

D-Link en Eminent hebben ruim de tijd gehad om de veiligheidsproblemen op te lossen, maar hebben dat is nog steeds niet gedaan. Bij deze merken ben je als consument dan ook slecht af wat betreft veiligheid.

Wil je weten welke beveiligingscamera’s veiliger zijn? Bekijk dan de complete test van 12 outdoormodellen

Lees ook:

Blijf op de hoogte

Ontvang nieuws, acties en tips in je mailbox. Zo bespaar je geld, voorkom je een miskoop en weet je wat je rechten zijn. Al 500.000 lezers gingen je voor.
In onze privacyverklaring lees je hoe we omgaan met je persoonsgegevens en e-mails voor je personaliseren.