Cloud IP Camera Cybersecurity Rankings 2023 - Avigilon Alta, Eagle Eye, Meraki, Rhombus, Turing, Verkada
***** ** ******* *** ******** ******** as **** *****-****** **** *********** **-******* offerings. *** ** **** ******* ** just *********?
**** ****** *** *************' ***** ** cameras, ********* ******** ****, ***** ***, Meraki, *******, ******, *** *******.
** **** ******, ** ****** *** strongest *** ******* ****** * **** categories:
- ******* **** *****
- *** ********
- **** ****** ***********
- *** *********** **** *** ****
- ******** *******
- ******* **** ********
- ********* ******** ******
- ****** *********
*** ******** ******* ******* **** ******** and ** ******* ******* ***** ** test *******, **** * ******** ******* below:
Executive *******
** *** *******, ******, *******, *** Verkada *** ****** ************* **** * minimal ****** *********, ***** ******** ****, Turing, *** ***** *** *** ******* default ***** **** *** ******** ******* that ******* ******* ****** **********.
*** ************* ** ******** ****, ******, Rhombus, *** ******* ****** **** **** native ***** *******, ***** ****** *** Eagle *** ****** *** ** ** traditional ******* *** ****** ** *******, respectively, **** ***** ************ *****.
***** ** ** *** ********** ** name * ****** "****" ** "*****" Cloud ** ****** *** ** *********** differences *** *******, ******** ******* ********* stronger *** ******:
*** ****** **** *** ** ******** attack ******** **** ** **** *****, enabled ********, ********** *******, *** ********, firmware *******, *** ***** *** **********.
********* **********
******, *******, *** ******* ************ ***** cloud ** ******* ****** **** ********* firmware *******, ******* **** *****, ** open ******** ********, *** ** *** interface, ******** ******* ********* ********** *******.
******* *********
******** **** (******** ***) *** ****** with *** ****** ******** ****** *********, HTTPS ******* **** *** *.* ****, and ** ********** *******, *** ** has **** **** ***** *** ** SSH ****** ******* ** *******.
***** ******* *********
****** *** *******, **** *** **** ports *** ******* *** *** *.*, but **** *** *** ****** ***** enabled ** *******, ********** *******, *** manual ***** ******** *******.
**** *********
***** *** *** ******* **** **** many ***** **** ** *******, **** supports ******** ******* *** *** ***** web *********, *****'* **** ***** ******* by *******, *** **** *****'* ******* HTTPS.
Technical *******
***** **** ***** **** ****** *** all *******, **** *********** ** ********* services ** **** ** ***** ***** streaming ***** ******.
***** *** ***** *** ** *** supporting ***** *****, ****** *** ***** 5 ***** ******* **** ********* ****** TLS *.* ***/** *** *.* ***** RSA **** ** ** *** *** types.
****-****** ************ **** ******. *******, ******* uses ********, *** **** ******** **** does *** **** ******** *******, ****** Merkai, ******, *** *******.
******** ****, ******, *******, *** ******* supported *** *****-********* ******** *******, ***** Turing ********* ****** ***** ******** *******, and ***** *** **** ********* ***** firmware ******* ***** *** ******'* ***** web *********.
******** **** *** *** **** ****** tested **** *** ******* ** *******, while **** ***** *** *** ****** had **** ******* *** **** ********* enabled ** *******.
******** ****, ***** ***, *** ****** IP ******* **** ********* ****** ** plain **** ** ******* ** ** easily ********** ****** *** ***** ***** web ********* ************** *** ** *** use ****** ****** **************, ***** ***** the ******** *** ******** *** **** the *** **** ********* ** ****** a **** *** **************.
*******, **** ******* ********** ************* **** our** ****** ************* ********, ***** ***** * **** ******** between ********* ************* *** *********** ****** and ************* ********.
Vulnerability *****
****** *** *******, ** ***** * security ************* **** **** ******** ** Turing *** ********* * *********** ********** procedure.
Update:
IPVM **** ***** ************* *******
**** **** * ***** ****** **** a *********** **** ***** ** *******, inspect, *** ******* ******* ******* *** cloud ****** *** **** ********'* *****-****** servers.
** **** **** * ***** *** browser ******* **** ***** ****** ** pass *** ****** ******* ******* *****, ***** ************ **** *** ***** server *** *** ****** ** ********* HTTP (*****). ** ******** *** ******** and ******** ******* ** *** *** client ** ***** ****.
Pinned ************ **********
*** ***** ******* ****** **** ****** SSL ************, ******* *** ***** ********'* own *** ************ *** ********* **** the ******, ***** ******** ***-**-***-****** ******* using ***-********** ************:
**** ******* **** *** ****** **** only ******** *********** **** *** ***** server, ***** ** * **** ******** measure. ** **** ********* **** **** analyzing *** ********* ******* ****** *******.
****** ******* **** ** *** ******* we ********* ** *********** **** *** cameras ***** * ***-********** *********** *** were ********:
Cloud ******* *************** *******, *** *********** ******
**** **** *** ********* ******* ** the ***** ****** ********, *** * deep **** ** *** *** ******* of **** ********, ****** **** *** run ****-***** *** ***** ** *** cloud ****** ********** *** *********** ******** and *** *** **** ***.
Compared ** *********** ** *******
*********** ** ******* ********* **** ******** default ********** ******** **** *** **** for ***** *********, ****** *********, *** integration ** *****/****, **** ************* **** network *****. **** ** ******* **** with *+ ******* ***** *** ******* services **** (***** ****** ************* ********), ***** ********* *** ********* ****** surface.
*******, ***** ** ******* ***** **** a ****** ***** *** ********* (*** UI) ***** *************, * ********** **** directly **** *** ****** *** **************, configuration, *** ***********. **** *** ********* of ******** ****, ***** ***, *** Turing, ***** **** * ****** ***** web ********* (*** **) ******* ** default.
Manufacturer *********
*** ********* ***** ********* *** ************* features *** ******* ** *** ************* tested (***** ** **** ****** *******):
** *** ******** *****, ** ******* a ******* ** *** ******* *********** of **** ************. ************, ** ***** are ******** ********* *** **** ** see ***** ** **** ** **** missed, ******* *****.
******** **** (******** ***)
******** **** *** *** **** ****** tested **** *** ******* ** *******, an *********** ******** ** ****** ****** surface.
******** **** **** ****** ************ *** communicates ** *** ***** ***** ***** over **** ***. **** ** ******** by *******, ****** **** *******, ** opens **** *** *** ***** **** streaming.
******** ****'* ******* ******* *** *.*, with ** ********** *******, *** *** not ***** *** *.*/*.*. *******, ******** Alta's ***** ******* **** ******* *** 1.2 *** *** *.*, **** **** no ********** *******.
***** ***
***** *** **** ****** ************ *** communicates ** *** ***** ***** ***** over **** ****. **** *** **** are ******* ** ******* *** ********** with *** ********/******** ***** ** ***** Camera ********.
*** ***** *** ****** **** *** have ****** ***** ******* ** *******. When ** ******* ***** ** *** camera, *** ****** ****** ******* ** the *****, ***** ****/***** ******** *** not ****, *** *** ****** ******** regularly. ***** *** ****:
*** ******* *** ******** ** ** used ******** **** ***** *** ***** VMS. ****** *** ** ***** *** Bridge ** *** ***** *** ************. Connecting ** ** ******* ** ******** but ** ** *** *********** ** connect ** ** ***** *******. *** local *** ********* ** *** ****** is ***** *** ******* *****, *** for ***** *****. *** ************* **** the ****** ** *** ***** ** completely *********, *** ******* *** *** reachable **** *** ******** *** ***** is ** **** ********** ** *** customer’s ******* ********. *** *********** *** for **** ****** ** ** *** Eagle *** ***** *** *******.
************, ***** ***'* ***** ******* **** offered *** *.* *** *** ********** ciphers.
******
****** **** ****** ************ *** ************ to *** ***** ***** ***** **** ports ***** *** ****. **** ** disabled ** *******, ****** **** *******, it ***** **** **** *** ***** RTSP *********.
****** ******* ******* *** *.* *** did *** ***** *** *.*/*.* ** v1.3. *** ****** *** ***** ******** ciphers. ************, ****** ***** ******* **** offered *** *.* *** ******** *******.
*******
******* **** ****** ************ *** ************ to *** ***** ***** ***** **** port ***. ** **** *** ***** RTSP, *** *.*** ********* **** *****. Disabled ** *******, **** *******, *** traffic ** ** **** ****.
*******' ******* ******* *** *.*, **** no ********** *******, *** *** *** offer *** *.*/*.*. *******, *******'* ***** servers ******* *** *.*, *** *.*, TLS *.*, *** *.*, *** ********** ciphers.
******
****** ************ ** *** ***** ***** HTTPS **** ***** *** *** ****. HTTP *** **** *** ******* ** default *** ********** **** *** ********/******** found ** ***** ****** ********.
*** ****** ****** **** *** **** secure ***** ******* ** *******. **** we ******* *****, *** ****** ******* TLS *.* **** ********** *******.
*******, ******'* ***** ******* ******* *** 1.2 *** *** *.*, **** **** no ********** *******.
*******
******* ******* *** ****** ************ *** communicate ** *** ***** ***** ***** over **** ***. **** ** ******** by *******, ****** **** *******, ** opens **** **** *** ***** **** streaming.
*******'* ******* ******* *** *.* *** TLS *.* *** *** *** ***** TLS *.*/*.*. *******, *** ******* ***** obsolete *******.
*** *** **** ******:******* ** ****** ************* ******.
Self-Signed *** ************ ******
** ***** **** * *** ** the * ********* **** ****-****** ************. Avigilon ****, *******, *** ****** **** RSA *** ***** **** **** ****, while ****** *** ******* **** ** keys **** *** ****. ******** **** not ******* ******** ***** ** ***** IP ******.
******** ****
******** ****'* ****-****** *********** ** ****** with *** ******** ****, *****, ***** it ******* ** ****, *** ** valid *** ** *****. **** ** uncommonly ****, ****** *** **** ** small ******* ** ** ****-****** *** is *** *** *** ** ****** connection:
******
****** ** ****-****** ** ***** ****** and ** ***** *** * ****. Meraki **** ** ** *** **** with *** ****, ***** ** * very ****** *** (********** ** *** **** ****), ****** ** ** *** ********* by *** *** ******** *** ******** more *** **********:
*******
******* *** *** **** ******** **** a *********** ****** ** ********, ***** for * ****. ******** ** * widely **** *** ******* *********** ********, it ** **** *********** *** ********* ** ********* ****** *************** ** ***** ************:
******
****** **** *** **** ***** ******* by ******* ** *** ** ******. When *******, *** *********** ** ****-****** with *** ** *******, ***** *** 1 ****. **** ** ********* **** for **** ***-********* ***** *******.
*******
******* ** ******, ******* **** ****-****** certificates **** ** ***:
Local ********* ***** ******** ****
** ***** *** **** ****** *** of **** ***** ********* ***** ************** was *** ***** *** **** *********. Each ****** ******** ***** ********* ******** differently, *** *** ******* ********* *** similar.
******** ****
***** ********* **** ***** ***** ** done **** **** *** ******.* (*********). STUN ** * ******** *** *********** ports *** ********* *** ** *** generally ********, *** ** *** *** used ** ***** ******* ****** ** the ********.
***** **** *******:
**** *** **** ******** (*** *******) is ****, *** ***** **** (******** ********* ***** ********) ** ******* *** *** *******, which *** ** **** *** ******* communication/commands *** *** *********:
******** **** **** ****** ***** ********** streaming **** ***** ******* ***** *****/******** from *** ***** *****:
***** ***
***** *** ****** **** *** ***** connection ********* **** ***** ****** **** login/password **** ***** *****:
******
****** ***** ********* ***** *** ****** details *** **********:
*******
******* ****** ******** ***** ** ****** URLs, ********* * **** *** ******* "clip":
******
****** ****** **** *** ***** ********** streaming **** ***** ****** **** *****/******** from ***** *****:
*** ***** ********** ******* ********* ********, streaming *** ***** *** ***** ** the ****** *** **:
Avigilon **** *** ********* *****
******** **** (******** ***) *** *** only ***** ****** ****** **** ******* SSH, ***** *** *** ****** **** run * ***** ****** '******', ***** is *** ***** ***** *****:
** * ******** ****, ** ***** that ** *** ******** ** *** a ******* **** *****, ****** ** adding * ******* ****** *** ***** or ******* *** "*****" ******* ****** the ***** *****, ***** ******** **** also ********* *** ******* ** *******, which ******** **** *** *** ****.
SSL *** **.* *** **.* **** ******
** ***** **** *** **.* *** TLS **.* **** *** **** ********* offered ** ***** ** ******* ** the *******, ****** *** ** ****** ranking, ***** ****** ******** ************* ********** deprecated *****.*/**.*.
**** *** **.* *** *** **.* are ******* *** ****** *********, ****** TLS **.* ****** * ****** ********* and **** ****** *******.
******** **** ****** *****.*:
******* ****** *****.*:
****** ****** *****.* *** **** ********* CBC *******:
****** ****** *****.* *** **** ********* CBC *******:
******* *** *.* / *.*, ******** Ciphers *******:
Automatic ******** ******* ********
** ***** **** ********* ******** ******* were ******** *** **** *************, **** most ******** *******. ******** **** *** the ******** **** ******* ******* ** ~7 **** ****** ******** *******.
****** ****** ******** ******* ** *** cloud, *** *** *************, ********* ***** to ****** *** ******** *** *** camera ******** ********. *** ****:****** ****+ ******* ******
*******, ******** **** *** ***** ***** firmware *******, **** ******* ** *** camera, ******** ********* **** **** ******* is ** *** *******. *** ****:***** *** ****** ** ***** ******* Tested
******** *** *** ******* ******, ******** Alta ******** *** *** ** *** new ********. ** **** **** ** download *** ******** ***** *** ***, and *** ******** *** *** *********.
Eagle *** *** ****** ***** ****** - ************* *********
***** *** *** ******'* ******* ************* differ **** ******** ****, ******, *******, and *******, ***** *** ******** ** not **** *** ****** *** ***** Web ** *****, **** *** ********* of ******** ****.
*** ***** *** *** ****** *** UI ********** ** **** ******* ** traditional ** *******, ***** *** ******** Alta *** ** *** ******* ******* tabs, ***** ****** ** ******** *** to *****-**-****** *************.
*** ********* ************** ****** ******* *** 3 *************. ******** **** **** ***** with ***** **** ********/******** ** **** format, ***** *** **** **** **** obfuscated ****** ******* ********/********, *** ****** uses **** **** ***** *************, ***** is ********* ****** ******* ********/********.
** ***** ******** ****, ***** ***, and ****** **** *** ********* ** of ***** ****** ******* ****** **** using ****** ****** **************.
******** **** *********:
*** ************* **** *** ****** ** sent **** ***** *** **** *** therefore ** ********* ** *******. **** is ******* ***** ****** ***** ** Digest ************** **** **** ** ********** weak *** ****** *** ** ****. HTTPS ******** *** ******* ******* *** client *** ******, ********* *********, ***** makes ** **** **** ********* *** attackers ** ********* *** ***** ********* information.
******** **** *****’* ******* *********** ******* CISA, **** *** ***** ********** *** best *********, *** ****** ***** **** hashing ********* **** ** *** *** SHA1 ** ******* ********* ***********. **** passwords *** ****** *** ****** **** multiple ****** ** ****. **** ***** to ******* *** ******** ******* *** ensure ******** ********* *** ********* *** stored ********* ******** **** ********* ** the ***** ** ** ******.
****** ************** ** * **** ****** protocol ******* ** **** *** ******* passwords. *******, ** **** * **** function ** ****** * ****** ** the ********, ***** ** **** **** to *** ******. *** ****** **** creates *** *** ****** ** *** password *** ******** ** ** *** digest **** ** *** ******. ** the *** ******* *****, *** **** is *************. *** **** ** ****, the ****** ********* *** ****** *** original ******** ** ***-******** * ******* hash ***** * ***** ********. **** means **** *** ************* **** ***** the **** **** *** ****** ***** it ****** *** *** ******** ** recover *** ******* ******** ** ** bypass *** ******** ********* ** ***** the ********* ***********.
***** ***** ****** *** *** ******** to ** ****** ** *** ****** using * ****** ******** ******* ****** that **** *** ****** *** ****** password **** ** *** **** ** disclosed. *** **** ****** ** ******** the *** ** ***** + ***** to ** *** ******** ******.
**** ****** **** ***** ** ******** than **** ******* ***** ******** *** communication.
*******, ***** ** ** *********** ** use ****** ****** ************** **** **** only, ** ***** ********* **** ** use ****** ****** ************** **** *****, which ** **** *********.
************, ** ******** **** ***** ********* or ******-******* ********* *** ************** ** better **** ***-****** *********, ********* ************** or ***.
****** *********:
** ******** ******** ** ***** ***** while ***** *** ****** ****, ***** would *** ** ********** ********.
** *** ********* ******* ** ** update ** ******** *** *** ****+ cameras ****** ** *** ****** ****, in ***** ** ******* ****** ******** to ***** *******.
************, ****** ****+ ******* **** ******* to ****** ************** ** *** ********** level.
***** *** *********:
**** ** *** ****** **** *** been ** ***** *** ** *** necessarily ** ********* **** ****** **************.
******** *** ******** ** ********* ******** are ******** ** **** ***** *** and ****** *******, **** **** ***** traces ** ******, *** *** **** Discovery ******** ** ******, ***** ** more ****** **** *********** ** *******.
******** **** *** **** * *** camera ********, *******/******** *** ******, *** configuration ** **** ** ****** ** address.
*** **** ******** **** *** ***** Eye ****** ******** *********** ***** *** camera *** **** ******* *** ****** as ******.
****** *** ******** *******, *** ******'* MAC ******* ******* **** *** ****** is, ** ****, ******.
*** **** ******** **** *** ****** camera ******** *********** ***** *** ****** but **** ******* *** ****** ** Vivotek.
****** *** ******** *******, ****** **** also ***** ** *** ****** **** the ****** **, ** ****, *******.
Cameras ******
- ******** **** ****-*-**-**
- ******** *******: ****************
- ******** **-****-****-*
- ******** *******: **.*.****.****.**.*.**.*.**.***
- ****** ****
- ******** *******: ** ** **** (** 5.3)
- ******* ****
- ******** *******: *********************
- ****** ******
- ******** *******: *.**.*
- ******* *****
- ******** *******: ** ** ****
****** ******* **** ***** ****:
**** ****** **** ***** ** ******** than ****, ******* ***** ******** *** communication.
*******, ***** ** ** *********** ** use ****** ****** ************** **** **** only, ** ***** ********* **** ** use ****** ****** ************** **** *****, which ** **** *********.
************, ** ******** **** ***** ********* or ******-******* ********* *** ************** ** better **** ***-****** *********, ********* ************** or ***.
******,******** *************: