icon-menu logo_footer preds symbol-afrader symbol-bestekoop symbol-besteuittest

Onveilige Chinese beveiligingscamera's: net onkruid

Nieuws|Zeker 27.000 Nederlandse bewakingscamera’s van Chinese makelij zijn te hacken en er komen er steeds meer bij, steeds met nieuwe merknamen. Fabrikant HiChip produceert veel van deze merken en belooft na een jaar eindelijk verbeteringen. 
De Consumentenbond heeft Amazon.nl gevraagd een tiental van deze onveilige apparaten uit de verkoop te halen.

Karen Reijneveld

Karen Reijneveld , Expert Elektronica Gepubliceerd op:6 mei 2020

Camera-met-sticker

Let op!

Je kunt momenteel geen video's bekijken, omdat je hiervoor geen cookies hebt geaccepteerd. Wil je toch video's bekijken? Wijzig dan je cookie instellingen en accepteer de YouTube cookies.


Risico’s

Gebruikers van deze camera’s lopen verschillende risico’s. Een eventuele hacker kan:

  • meekijken met de camera,
  • het wachtwoord veranderen,
  • de camera toevoegen aan een botnet,
  • de camera laten crashen,
  • de locatie van de camera achterhalen;
  • toegang krijgen tot andere apparaten in het thuisnetwerk.

Dat laatste is afhankelijk van de bescherming van die andere apparaten: foto’s achter de firewall van een Windowscomputer zijn goed afgeschermd, maar foto’s op een NAS lopen mogelijk risico.

Probleem: voorspelbare UIDs

Dit soort apparaten zendt op het internet een uniek kenteken uit, zodat je makkelijk op de camera kunt inloggen, bijvoorbeeld met een app. Het probleem met de kentekens of ‘UIDs’ van deze camera’s is dat die te voorspelbaar zijn.

Hackers scannen het internet en vinden met slimme zoekopdrachten talloze camera’s met vergelijkbare UIDs. Ze sturen een bericht naar de bijbehorende server en kunnen dan contact maken met zo’n camera. Het in te voeren wachtwoord is meestal zwak beveiligd, zodat een beetje hacker deze kan kraken. 

Deze voorspelbare UIDs horen bij een bepaalde module (ILnkP2P) die in camera’s van honderden merken zit. Al die merken hebben ook weer verschillende apps.

CamHi-app

Zo lopen camera’s die werken met de app CamHi een groot risico. Dat is een app van HiChip, een fabrikant die 38% van die 27.000 onveilige camera’s heeft geproduceerd.

Merken met de app CamHi

  • Accfly
  • Alptop
  • Anlink
  • Besdersec
  • BOAVISION
  • COOAU
  • CPVAN
  • Ctronics
  • D3D Security
  • Dericam
  • Elex System
  • Elite Security
  • ENSTER
  • ePGes
  • Escam
  • FLOUREON
  • GatoCam
  • GENBOLT
  • Hongjingtian (HJT)
  • ICAMI
  • Iegeek
  • Jecurity
  • Jennov
  • KKMoon
  • LEFTEK
  • Loosafe
  • Luowice
  • MEOBHI
  • Nesuniq
  • Nettoly
  • ProElite
  • QZT
  • Royallite
  • SDETER
  • SV3C
  • SY2L
  • Tenvis
  • ThinkValue
  • TOMLOV
  • TPTEK
  • WGCC
  • WYJW
  • ZILINK
  • Zysecurity

Wereldwijde rol Amazon

Wereldwijd gaat het inmiddels om 3,5 miljoen camera’s. Met de komst van Amazon naar Nederland staat de deur naar dit soort 'Chinees onkruid' wagenwijd open.

Eerder heeft Amazon.nl op ons verzoek 2 camera’s van het platform verwijderd. Ook nu hebben we gevraagd of ze 10 kwetsbare camera’s willen verwijderen. Onze Britse testpartner Which heeft Amazon ook erop aangesproken, want een product dat in het ene land is verwijderd van Amazon, kan er in een ander land gewoon nog op staan.

Bekijk de wereldkaart met kwetsbare camera’s.

Net onkruid

Dat er een paar camera’s van Amazon verwijderd worden, is nog geen oplossing voor het probleem. Als onkruid komen dit soort camera’s met een andere merknaam gewoon weer terug. Dit is een gevolg van een typisch Chinese constructie bestaande uit een ondoorzichtig web van onderdelenmakers en bedrijfjes die er een label op plakken.

Onderzoek

De kwetsbaarheden zijn door de Amerikaanse veiligheidsonderzoeker Paul Marrapese ontdekt. Begin 2019 informeerde hij fabrikanten. Eind april 2019 publiceerde hij erover op hacked.camera.

Destijds vond hij 2 miljoen kwetsbare camera's, inmiddels staat de teller op 3,5 miljoen.

Onveilige camera herkennen

Camera’s met de kwetsbare module hebben een identificatienummer (UID) dat er zo uitziet: FFFF-123456-ABCDE. Soms staat dat op een sticker op het apparaat, maar niet altijd. Van camera’s met bepaalde beginletters weten we dat ze kwetsbaar zijn.

 

AIDAJTAVABSIPCAM
CPTCAMCTWDFTDFZDYNE
EEEEELSAESNESSEST
FFFFGCMNGGGGGKWHDT
HHHHHRXJHVCHWAAHZD
HZDAHZDBHZDCHZDNHZDX
HZDYHZDZIIIIIPCISRP
JWEVKSCMCIMCIHDMDI
MDIHDMEGMEYEMGAMGW
MICMICHDMMMMMSEMSEHD
MSIMSIHDMTEMTEHDMUI
MUIHDNIPNIPHDNPCNTP
OBJOPCSOPMSPARPARC
PCSPHPPIOPIPCAMPIX
PNPPSDPTPQHSVROSS
SIDSIPSXHTIOTSD
UIDVIOVSTDVSTFWBT
WBTHDWNSWNSCWXHWXO
XDBLXTSTZESZLDZSKJ
ZZZZ    

 

Je camera van het internet halen

Wij adviseren deze risicovolle camera’s niet meer te gebruiken, tenzij je weet hoe je de juiste internetpoort in je camera kunt blokkeren (UDP-poort 32100). Daardoor kun je alleen nog van binnen je eigen wifinetwerk contact maken met de camera.

Beter is het om een beter beveiligde camera te kopen.

Lees ook: Kooptips beveiligingscamera’s

Wat doet de Consumentenbond?

We hebben Amazon.nl gevraagd 10 producten offline te halen, die werken met de app CamHi. Het gaat om producten van de merken Gatocam, MEOBHI, WYJW, Zysecurity (Crazy) en PNI.

We lobbyen actief voor wetgeving waarmee onveilige producten van buiten de EU eenvoudiger van de markt kunnen worden geweerd.