icon-menu logo_footer preds symbol-afrader symbol-bestekoop symbol-besteuittest
Ga naar hoofdinhoud

Onveilige Chinese beveiligingscamera's: net onkruid

Nieuws
|
Zeker 27.000 Nederlandse bewakingscamera’s van Chinese makelij zijn te hacken en er komen er steeds meer bij, steeds met nieuwe merknamen. Fabrikant HiChip produceert veel van deze merken en belooft na een jaar eindelijk verbeteringen. 
De Consumentenbond heeft Amazon.nl gevraagd een tiental van deze onveilige apparaten uit de verkoop te halen.
Karen Reijneveld_S

Karen Reijneveld   Expert ElektronicaGepubliceerd op:6 mei 2020

  1. Risico’s
  2. Probleem: voorspelbare UIDs
  3. CamHi-app
  4. Wereldwijde rol Amazon
  5. Net onkruid
  1. Onderzoek
  2. Onveilige camera herkennen
  3. Je camera van het internet halen
  4. Wat doet de Consumentenbond?

Risico’s

Gebruikers van deze camera’s lopen verschillende risico’s. Een eventuele hacker kan:

  • meekijken met de camera,
  • het wachtwoord veranderen,
  • de camera toevoegen aan een botnet,
  • de camera laten crashen,
  • de locatie van de camera achterhalen;
  • toegang krijgen tot andere apparaten in het thuisnetwerk.

Dat laatste is afhankelijk van de bescherming van die andere apparaten: foto’s achter de firewall van een Windowscomputer zijn goed afgeschermd, maar foto’s op een NAS lopen mogelijk risico.

Probleem: voorspelbare UIDs

Dit soort apparaten zendt op het internet een uniek kenteken uit, zodat je makkelijk op de camera kunt inloggen, bijvoorbeeld met een app. Het probleem met de kentekens of ‘UIDs’ van deze camera’s is dat die te voorspelbaar zijn.

Hackers scannen het internet en vinden met slimme zoekopdrachten talloze camera’s met vergelijkbare UIDs. Ze sturen een bericht naar de bijbehorende server en kunnen dan contact maken met zo’n camera. Het in te voeren wachtwoord is meestal zwak beveiligd, zodat een beetje hacker deze kan kraken. 

Deze voorspelbare UIDs horen bij een bepaalde module (ILnkP2P) die in camera’s van honderden merken zit. Al die merken hebben ook weer verschillende apps.

CamHi-app

Zo lopen camera’s die werken met de app CamHi een groot risico. Dat is een app van HiChip, een fabrikant die 38% van die 27.000 onveilige camera’s heeft geproduceerd.

Merken met de app CamHi

  • Accfly
  • Alptop
  • Anlink
  • Besdersec
  • BOAVISION
  • COOAU
  • CPVAN
  • Ctronics
  • D3D Security
  • Dericam
  • Elex System
  • Elite Security
  • ENSTER
  • ePGes
  • Escam
  • FLOUREON
  • GatoCam
  • GENBOLT
  • Hongjingtian (HJT)
  • ICAMI
  • Iegeek
  • Jecurity
  • Jennov
  • KKMoon
  • LEFTEK
  • Loosafe
  • Luowice
  • MEOBHI
  • Nesuniq
  • Nettoly
  • ProElite
  • QZT
  • Royallite
  • SDETER
  • SV3C
  • SY2L
  • Tenvis
  • ThinkValue
  • TOMLOV
  • TPTEK
  • WGCC
  • WYJW
  • ZILINK
  • Zysecurity

Wereldwijde rol Amazon

Wereldwijd gaat het inmiddels om 3,5 miljoen camera’s. Met de komst van Amazon naar Nederland staat de deur naar dit soort 'Chinees onkruid' wagenwijd open.

Eerder heeft Amazon.nl op ons verzoek 2 camera’s van het platform verwijderd. Ook nu hebben we gevraagd of ze 10 kwetsbare camera’s willen verwijderen. Onze Britse testpartner Which heeft Amazon ook erop aangesproken, want een product dat in het ene land is verwijderd van Amazon, kan er in een ander land gewoon nog op staan.

Bekijk de wereldkaart met kwetsbare camera’s.

Net onkruid

Dat er een paar camera’s van Amazon verwijderd worden, is nog geen oplossing voor het probleem. Als onkruid komen dit soort camera’s met een andere merknaam gewoon weer terug. Dit is een gevolg van een typisch Chinese constructie bestaande uit een ondoorzichtig web van onderdelenmakers en bedrijfjes die er een label op plakken.

Onderzoek

De kwetsbaarheden zijn door de Amerikaanse veiligheidsonderzoeker Paul Marrapese ontdekt. Begin 2019 informeerde hij fabrikanten. Eind april 2019 publiceerde hij erover op hacked.camera.

Destijds vond hij 2 miljoen kwetsbare camera's, inmiddels staat de teller op 3,5 miljoen.

Onveilige camera herkennen

Camera’s met de kwetsbare module hebben een identificatienummer (UID) dat er zo uitziet: FFFF-123456-ABCDE. Soms staat dat op een sticker op het apparaat, maar niet altijd. Van camera’s met bepaalde beginletters weten we dat ze kwetsbaar zijn.

 

AID AJT AVA BSIP CAM
CPTCAM CTW DFT DFZ DYNE
EEEE ELSA ESN ESS EST
FFFF GCMN GGGG GKW HDT
HHHH HRXJ HVC HWAA HZD
HZDA HZDB HZDC HZDN HZDX
HZDY HZDZ IIII IPC ISRP
JWEV KSC MCI MCIHD MDI
MDIHD MEG MEYE MGA MGW
MIC MICHD MMMM MSE MSEHD
MSI MSIHD MTE MTEHD MUI
MUIHD NIP NIPHD NPC NTP
OBJ OPCS OPMS PAR PARC
PCS PHP PIO PIPCAM PIX
PNP PSD PTP QHSV ROSS
SID SIP SXH TIO TSD
UID VIO VSTD VSTF WBT
WBTHD WNS WNSC WXH WXO
XDBL XTST ZES ZLD ZSKJ
ZZZZ        

 

Je camera van het internet halen

Wij adviseren deze risicovolle camera’s niet meer te gebruiken, tenzij je weet hoe je de juiste internetpoort in je camera kunt blokkeren (UDP-poort 32100). Daardoor kun je alleen nog van binnen je eigen wifinetwerk contact maken met de camera.

Beter is het om een beter beveiligde camera te kopen.

Lees ook: Kooptips beveiligingscamera’s

Wat doet de Consumentenbond?

We hebben Amazon.nl gevraagd 10 producten offline te halen, die werken met de app CamHi. Het gaat om producten van de merken Gatocam, MEOBHI, WYJW, Zysecurity (Crazy) en PNI.

We lobbyen actief voor wetgeving waarmee onveilige producten van buiten de EU eenvoudiger van de markt kunnen worden geweerd.

Lees verder

Blijf op de hoogte

Ontvang nieuws, acties en tips in je mailbox. Zo bespaar je geld, voorkom je een miskoop en weet je wat je rechten zijn. Al 500.000 lezers gingen je voor.
In onze privacyverklaring lees je hoe we omgaan met je persoonsgegevens en e-mails voor je personaliseren.

Test beveiligingscamera's