Cloud IP Camera Cybersecurity Rankings 2023 - Avigilon Alta, Eagle Eye, Meraki, Rhombus, Turing, Verkada

***** ** ******* *** ******** ******** as **** *****-****** **** *********** **-******* offerings. *** ** **** ******* ** just *********?

**** ****** *** *************' ***** ** cameras, ********* ******** ****, ***** ***, Meraki, *******, ******, *** *******.

** **** ******, ** ****** *** strongest *** ******* ****** * **** categories:

• ******* **** *****
• *** ********
• **** ****** ***********
• *** *********** **** *** ****
• ******** *******
• ******* **** ********
• ********* ******** ******
• ****** *********

*** ******** ******* ******* **** ******** and ** ******* ******* ***** ** test *******, **** * ******** ******* below:

Executive *******

** *** *******, ******, *******, *** Verkada *** ****** ************* **** * minimal ****** *********, ***** ******** ****, Turing, *** ***** *** *** ******* default ***** **** *** ******** ******* that ******* ******* ****** **********.

*** ************* ** ******** ****, ******, Rhombus, *** ******* ****** **** **** native ***** *******, ***** ****** *** Eagle *** ****** *** ** ** traditional ******* *** ****** ** *******, respectively, **** ***** ************ *****.

***** ** ** *** ********** ** name * ****** "****" ** "*****" Cloud ** ****** *** ** *********** differences *** *******, ******** ******* ********* stronger *** ******:

*** ****** **** *** ** ******** attack ******** **** ** **** *****, enabled ********, ********** *******, *** ********, firmware *******, *** ***** *** **********.

********* **********

******, *******, *** ******* ************ ***** cloud ** ******* ****** **** ********* firmware *******, ******* **** *****, ** open ******** ********, *** ** *** interface, ******** ******* ********* ********** *******.

******* *********

******** **** (******** ***) *** ****** with *** ****** ******** ****** *********, HTTPS ******* **** *** *.* ****, and ** ********** *******, *** ** has **** **** ***** *** ** SSH ****** ******* ** *******.

***** ******* *********

****** *** *******, **** *** **** ports *** ******* *** *** *.*, but **** *** *** ****** ***** enabled ** *******, ********** *******, *** manual ***** ******** *******.

**** *********

***** *** *** ******* **** **** many ***** **** ** *******, **** supports ******** ******* *** *** ***** web *********, *****'* **** ***** ******* by *******, *** **** *****'* ******* HTTPS.

Technical *******

***** **** ***** **** ****** *** all *******, **** *********** ** ********* services ** **** ** ***** ***** streaming ***** ******.

***** *** ***** *** ** *** supporting ***** *****, ****** *** ***** 5 ***** ******* **** ********* ****** TLS *.* ***/** *** *.* ***** RSA **** ** ** *** *** types.

****-****** ************ **** ******. *******, ******* uses ********, *** **** ******** **** does *** **** ******** *******, ****** Merkai, ******, *** *******.

******** ****, ******, *******, *** ******* supported *** *****-********* ******** *******, ***** Turing ********* ****** ***** ******** *******, and ***** *** **** ********* ***** firmware ******* ***** *** ******'* ***** web *********.

******** **** *** *** **** ****** tested **** *** ******* ** *******, while **** ***** *** *** ****** had **** ******* *** **** ********* enabled ** *******.

******** ****, ***** ***, *** ****** IP ******* **** ********* ****** ** plain **** ** ******* ** ** easily ********** ****** *** ***** ***** web ********* ************** *** ** *** use ****** ****** **************, ***** ***** the ******** *** ******** *** **** the *** **** ********* ** ****** a **** *** **************.

*******, **** ******* ********** ************* **** our** ****** ************* ********, ***** ***** * **** ******** between ********* ************* *** *********** ****** and ************* ********.

Vulnerability *****

****** *** *******, ** ***** * security ************* **** **** ******** ** Turing *** ********* * *********** ********** procedure.

Update:

IPVM **** ***** ************* *******

**** **** * ***** ****** **** a *********** **** ***** ** *******, inspect, *** ******* ******* ******* *** cloud ****** *** **** ********'* *****-****** servers.

** **** **** * ***** *** browser ******* **** ***** ****** ** pass *** ****** ******* ******* *****, ***** ************ **** *** ***** server *** *** ****** ** ********* HTTP (*****). ** ******** *** ******** and ******** ******* ** *** *** client ** ***** ****.

Pinned ************ **********

*** ***** ******* ****** **** ****** SSL ************, ******* *** ***** ********'* own *** ************ *** ********* **** the ******, ***** ******** ***-**-***-****** ******* using ***-********** ************:

**** ******* **** *** ****** **** only ******** *********** **** *** ***** server, ***** ** * **** ******** measure. ** **** ********* **** **** analyzing *** ********* ******* ****** *******.

****** ******* **** ** *** ******* we ********* ** *********** **** *** cameras ***** * ***-********** *********** *** were ********:

Cloud ******* *************** *******, *** *********** ******

**** **** *** ********* ******* ** the ***** ****** ********, *** * deep **** ** *** *** ******* of **** ********, ****** **** *** run ****-***** *** ***** ** *** cloud ****** ********** *** *********** ******** and *** *** **** ***.

Compared ** *********** ** *******

*********** ** ******* ********* **** ******** default ********** ******** **** *** **** for ***** *********, ****** *********, *** integration ** *****/****, **** ************* **** network *****. **** ** ******* **** with *+ ******* ***** *** ******* services **** (***** ****** ************* ********), ***** ********* *** ********* ****** surface.

*******, ***** ** ******* ***** **** a ****** ***** *** ********* (*** UI) ***** *************, * ********** **** directly **** *** ****** *** **************, configuration, *** ***********. **** *** ********* of ******** ****, ***** ***, *** Turing, ***** **** * ****** ***** web ********* (*** **) ******* ** default.

Manufacturer *********

*** ********* ***** ********* *** ************* features *** ******* ** *** ************* tested (***** ** **** ****** *******):

** *** ******** *****, ** ******* a ******* ** *** ******* *********** of **** ************. ************, ** ***** are ******** ********* *** **** ** see ***** ** **** ** **** missed, ******* *****.

******** **** (******** ***)

******** **** *** *** **** ****** tested **** *** ******* ** *******, an *********** ******** ** ****** ****** surface.

******** **** **** ****** ************ *** communicates ** *** ***** ***** ***** over **** ***. **** ** ******** by *******, ****** **** *******, ** opens **** *** *** ***** **** streaming.

******** ****'* ******* ******* *** *.*, with ** ********** *******, *** *** not ***** *** *.*/*.*. *******, ******** Alta's ***** ******* **** ******* *** 1.2 *** *** *.*, **** **** no ********** *******.

***** ***

***** *** **** ****** ************ *** communicates ** *** ***** ***** ***** over **** ****. **** *** **** are ******* ** ******* *** ********** with *** ********/******** ***** ** ***** Camera ********.

*** ***** *** ****** **** *** have ****** ***** ******* ** *******. When ** ******* ***** ** *** camera, *** ****** ****** ******* ** the *****, ***** ****/***** ******** *** not ****, *** *** ****** ******** regularly. ***** *** ****:

*** ******* *** ******** ** ** used ******** **** ***** *** ***** VMS. ****** *** ** ***** *** Bridge ** *** ***** *** ************. Connecting ** ** ******* ** ******** but ** ** *** *********** ** connect ** ** ***** *******. *** local *** ********* ** *** ****** is ***** *** ******* *****, *** for ***** *****. *** ************* **** the ****** ** *** ***** ** completely *********, *** ******* *** *** reachable **** *** ******** *** ***** is ** **** ********** ** *** customer’s ******* ********. *** *********** *** for **** ****** ** ** *** Eagle *** ***** *** *******.

************, ***** ***'* ***** ******* **** offered *** *.* *** *** ********** ciphers.

******

****** **** ****** ************ *** ************ to *** ***** ***** ***** **** ports ***** *** ****. **** ** disabled ** *******, ****** **** *******, it ***** **** **** *** ***** RTSP *********.

****** ******* ******* *** *.* *** did *** ***** *** *.*/*.* ** v1.3. *** ****** *** ***** ******** ciphers. ************, ****** ***** ******* **** offered *** *.* *** ******** *******.

*******

******* **** ****** ************ *** ************ to *** ***** ***** ***** **** port ***. ** **** *** ***** RTSP, *** *.*** ********* **** *****. Disabled ** *******, **** *******, *** traffic ** ** **** ****.

*******' ******* ******* *** *.*, **** no ********** *******, *** *** *** offer *** *.*/*.*. *******, *******'* ***** servers ******* *** *.*, *** *.*, TLS *.*, *** *.*, *** ********** ciphers.

******

****** ************ ** *** ***** ***** HTTPS **** ***** *** *** ****. HTTP *** **** *** ******* ** default *** ********** **** *** ********/******** found ** ***** ****** ********.

*** ****** ****** **** *** **** secure ***** ******* ** *******. **** we ******* *****, *** ****** ******* TLS *.* **** ********** *******.

*******, ******'* ***** ******* ******* *** 1.2 *** *** *.*, **** **** no ********** *******.

*******

******* ******* *** ****** ************ *** communicate ** *** ***** ***** ***** over **** ***. **** ** ******** by *******, ****** **** *******, ** opens **** **** *** ***** **** streaming.

*******'* ******* ******* *** *.* *** TLS *.* *** *** *** ***** TLS *.*/*.*. *******, *** ******* ***** obsolete *******.

*** *** **** ******:******* ** ****** ************* ******.

Self-Signed *** ************ ******

** ***** **** * *** ** the * ********* **** ****-****** ************. Avigilon ****, *******, *** ****** **** RSA *** ***** **** **** ****, while ****** *** ******* **** ** keys **** *** ****. ******** **** not ******* ******** ***** ** ***** IP ******.

******** ****

******** ****'* ****-****** *********** ** ****** with *** ******** ****, *****, ***** it ******* ** ****, *** ** valid *** ** *****. **** ** uncommonly ****, ****** *** **** ** small ******* ** ** ****-****** *** is *** *** *** ** ****** connection:

******

****** ** ****-****** ** ***** ****** and ** ***** *** * ****. Meraki **** ** ** *** **** with *** ****, ***** ** * very ****** *** (********** ** *** **** ****), ****** ** ** *** ********* by *** *** ******** *** ******** more *** **********:

*******

******* *** *** **** ******** **** a *********** ****** ** ********, ***** for * ****. ******** ** * widely **** *** ******* *********** ********, it ** **** *********** *** ********* ** ********* ****** *************** ** ***** ************:

******

****** **** *** **** ***** ******* by ******* ** *** ** ******. When *******, *** *********** ** ****-****** with *** ** *******, ***** *** 1 ****. **** ** ********* **** for **** ***-********* ***** *******.

*******

******* ** ******, ******* **** ****-****** certificates **** ** ***:

Local ********* ***** ******** ****

** ***** *** **** ****** *** of **** ***** ********* ***** ************** was *** ***** *** **** *********. Each ****** ******** ***** ********* ******** differently, *** *** ******* ********* *** similar.

******** ****

***** ********* **** ***** ***** ** done **** **** *** ******.* (*********). STUN ** * ******** *** *********** ports *** ********* *** ** *** generally ********, *** ** *** *** used ** ***** ******* ****** ** the ********.

***** **** *******:

**** *** **** ******** (*** *******) is ****, *** ***** **** (******** ********* ***** ********) ** ******* *** *** *******, which *** ** **** *** ******* communication/commands *** *** *********:

******** **** **** ****** ***** ********** streaming **** ***** ******* ***** *****/******** from *** ***** *****:

***** ***

***** *** ****** **** *** ***** connection ********* **** ***** ****** **** login/password **** ***** *****:

******

****** ***** ********* ***** *** ****** details *** **********:

*******

******* ****** ******** ***** ** ****** URLs, ********* * **** *** ******* "clip":

******

****** ****** **** *** ***** ********** streaming **** ***** ****** **** *****/******** from ***** *****:

*** ***** ********** ******* ********* ********, streaming *** ***** *** ***** ** the ****** *** **:

Avigilon **** *** ********* *****

******** **** (******** ***) *** *** only ***** ****** ****** **** ******* SSH, ***** *** *** ****** **** run * ***** ****** '******', ***** is *** ***** ***** *****:

** * ******** ****, ** ***** that ** *** ******** ** *** a ******* **** *****, ****** ** adding * ******* ****** *** ***** or ******* *** "*****" ******* ****** the ***** *****, ***** ******** **** also ********* *** ******* ** *******, which ******** **** *** *** ****.

SSL *** **.* *** **.* **** ******

** ***** **** *** **.* *** TLS **.* **** *** **** ********* offered ** ***** ** ******* ** the *******, ****** *** ** ****** ranking, ***** ****** ******** ************* ********** deprecated *****.*/**.*.

**** *** **.* *** *** **.* are ******* *** ****** *********, ****** TLS **.* ****** * ****** ********* and **** ****** *******.

******** **** ****** *****.*:

******* ****** *****.*:

****** ****** *****.* *** **** ********* CBC *******:

****** ****** *****.* *** **** ********* CBC *******:

******* *** *.* / *.*, ******** Ciphers *******:

Automatic ******** ******* ********

** ***** **** ********* ******** ******* were ******** *** **** *************, **** most ******** *******. ******** **** *** the ******** **** ******* ******* ** ~7 **** ****** ******** *******.

****** ****** ******** ******* ** *** cloud, *** *** *************, ********* ***** to ****** *** ******** *** *** camera ******** ********. *** ****:****** ****+ ******* ******

*******, ******** **** *** ***** ***** firmware *******, **** ******* ** *** camera, ******** ********* **** **** ******* is ** *** *******. *** ****:***** *** ****** ** ***** ******* Tested

******** *** *** ******* ******, ******** Alta ******** *** *** ** *** new ********. ** **** **** ** download *** ******** ***** *** ***, and *** ******** *** *** *********.

Eagle *** *** ****** ***** ****** - ************* *********

***** *** *** ******'* ******* ************* differ **** ******** ****, ******, *******, and *******, ***** *** ******** ** not **** *** ****** *** ***** Web ** *****, **** *** ********* of ******** ****.

*** ***** *** *** ****** *** UI ********** ** **** ******* ** traditional ** *******, ***** *** ******** Alta *** ** *** ******* ******* tabs, ***** ****** ** ******** *** to *****-**-****** *************.

*** ********* ************** ****** ******* *** 3 *************. ******** **** **** ***** with ***** **** ********/******** ** **** format, ***** *** **** **** **** obfuscated ****** ******* ********/********, *** ****** uses **** **** ***** *************, ***** is ********* ****** ******* ********/********.

** ***** ******** ****, ***** ***, and ****** **** *** ********* ** of ***** ****** ******* ****** **** using ****** ****** **************.

******** **** *********:

*** ************* **** *** ****** ** sent **** ***** *** **** *** therefore ** ********* ** *******. **** is ******* ***** ****** ***** ** Digest ************** **** **** ** ********** weak *** ****** *** ** ****. HTTPS ******** *** ******* ******* *** client *** ******, ********* *********, ***** makes ** **** **** ********* *** attackers ** ********* *** ***** ********* information.

******** **** *****’* ******* *********** ******* CISA, **** *** ***** ********** *** best *********, *** ****** ***** **** hashing ********* **** ** *** *** SHA1 ** ******* ********* ***********. **** passwords *** ****** *** ****** **** multiple ****** ** ****. **** ***** to ******* *** ******** ******* *** ensure ******** ********* *** ********* *** stored ********* ******** **** ********* ** the ***** ** ** ******.

****** ************** ** * **** ****** protocol ******* ** **** *** ******* passwords. *******, ** **** * **** function ** ****** * ****** ** the ********, ***** ** **** **** to *** ******. *** ****** **** creates *** *** ****** ** *** password *** ******** ** ** *** digest **** ** *** ******. ** the *** ******* *****, *** **** is *************. *** **** ** ****, the ****** ********* *** ****** *** original ******** ** ***-******** * ******* hash ***** * ***** ********. **** means **** *** ************* **** ***** the **** **** *** ****** ***** it ****** *** *** ******** ** recover *** ******* ******** ** ** bypass *** ******** ********* ** ***** the ********* ***********.

***** ***** ****** *** *** ******** to ** ****** ** *** ****** using * ****** ******** ******* ****** that **** *** ****** *** ****** password **** ** *** **** ** disclosed. *** **** ****** ** ******** the *** ** ***** + ***** to ** *** ******** ******.

**** ****** **** ***** ** ******** than **** ******* ***** ******** *** communication.

*******, ***** ** ** *********** ** use ****** ****** ************** **** **** only, ** ***** ********* **** ** use ****** ****** ************** **** *****, which ** **** *********.

************, ** ******** **** ***** ********* or ******-******* ********* *** ************** ** better **** ***-****** *********, ********* ************** or ***.

****** *********:

** ******** ******** ** ***** ***** while ***** *** ****** ****, ***** would *** ** ********** ********.

** *** ********* ******* ** ** update ** ******** *** *** ****+ cameras ****** ** *** ****** ****, in ***** ** ******* ****** ******** to ***** *******.

************, ****** ****+ ******* **** ******* to ****** ************** ** *** ********** level.

***** *** *********:

**** ** *** ****** **** *** been ** ***** *** ** *** necessarily ** ********* **** ****** **************.

******** *** ******** ** ********* ******** are ******** ** **** ***** *** and ****** *******, **** **** ***** traces ** ******, *** *** **** Discovery ******** ** ******, ***** ** more ****** **** *********** ** *******.

******** **** *** **** * *** camera ********, *******/******** *** ******, *** configuration ** **** ** ****** ** address.

*** **** ******** **** *** ***** Eye ****** ******** *********** ***** *** camera *** **** ******* *** ****** as ******.

****** *** ******** *******, *** ******'* MAC ******* ******* **** *** ****** is, ** ****, ******.

*** **** ******** **** *** ****** camera ******** *********** ***** *** ****** but **** ******* *** ****** ** Vivotek.

****** *** ******** *******, ****** **** also ***** ** *** ****** **** the ****** **, ** ****, *******.

Cameras ******

• ******** **** ****-*-**-**
  • ******** *******: ****************
• ******** **-****-****-*
  • ******** *******: **.*.****.****.**.*.**.*.**.***
• ****** ****
  • ******** *******: ** ** **** (** 5.3)
• ******* ****
  • ******** *******: *********************
• ****** ******
  • ******** *******: *.**.*
• ******* *****
  • ******** *******: ** ** ****