1,3 Mio. Überwachungskameras in Deutschland sind im Netz angreifbar

Sicherheit, überwachung, Kamera Bildquelle: K's Photo's (CC BY-SA 2.0)
Sicherheitslücken in der Hardware eines chinesischen Herstellers soll es bei mehreren Millionen Überwachungskameras und digitalen Video-Recordern trivial einfach machen, diese aus dem Netz zu kapern. Die angreifbaren Komponenten kommen bei verschiedensten Herstellern zum Einsatz, alleine in Deutschland sollen 1,3 Mio. Kameras betroffen sein.

Ein Zulieferer sorgt für Millionen angreifbare Überwachungssysteme

Der Sinn und Zweck von Überwachungssystemen ist klar: Sie sollen die Sicherheit erhöhen. Werden die Systeme selbst allerdings zum Angriffsziel, ist die eigentliche Funktion natürlich nicht mehr gewährleistet. Jetzt haben die Sicherheitsexperten von SEC Consult laut heise eine Lücke in Überwachungskameras und digitalen Videorecordern entdeckt, die Millionen der Geräte sehr leicht über das Netz angreifbar macht. Sicherheitslücken in der Hardware des chinesischen Herstellers Xiongmai, die bei verschiedenstens Herstellern verbaut ist, macht es demnach "trivial einfach" die Geräte aufzuspüren und zu kapern.


Demnach können sich Angreifer aus der Ferne weitreichenden Zugang verschaffen und so beispielsweise Videos abrufen und anschauen, Änderungen vornehmen oder sogar Schadcode einschleusen. SEC Consult geht in seiner ersten Analyse davon aus, dass alleine in Deutschland rund 1,3 Millionen Systeme durch Komponenten von Xiongmai für Angriffe offen stehen, in China soll diese Zahl bei 5,4 Millionen liegen.

Einfach zu finden mit Hintertür

Zwei gravierende Fehler machen die Systeme dabei verwundbar. Wie SEC Consult erläutert, nutzen die Geräte den Cloud-Dienst XMEye, um Anwendern Fernzugriff auf Aufnahmen und Konfigurationen zu gewähren. Statt über eine pseudo-zufällig gewählte ID-Nummer, verfügen die Geräte aber über eine Kennzeichnung, die sich aus der eigenen MAC-Adresse ableitet. Wie die Sicherheitsforscher ausführen, macht es dies sehr leicht, auf Basis der Adresse eines Geräts auf die ID-Nummern anderer Modelle desselben Herstellers zu schließen.

Bei ihrer Untersuchung konnten sie außerdem feststellen, dass sich der Xiongmai-Server in keiner Weise an Zehntausenden Scan-Anfragen von einer einzigen IP-Adresse stört. Angreifer können so automatisiert Angriffs-Listen erstellen und dann passend zur ID über die Cloud-Server eine Ziel-IP-Adresse abfragen. In der Standard-Konfiguration ab Werk ist der Login dann mit dem Benutzernamen admin ohne Passwort möglich.

Besonders gravierend: Auch wenn die Zugangsdaten geändert wurden, bleibt laut den Sicherheitsexperten noch die Login-Möglichkeit über den Nutzer default, der in der Dokumentation der Geräte keine Erwähnung findet und für den ein festes Passwort gesetzt ist: Der Name des Kontos rückwärts - wie heise.de vermutet, öffnet eine Hintertür des Herstellers Xiongmai. Zuletzt war der Hersteller 2016 wegen ähnlicher Probleme in die Kritik geraten, zu einem Umdenken scheint dies aber nicht geführt zu haben.

Download iSpy - Video- und Überwachungssoftware Sicherheit, überwachung, Kamera Sicherheit, überwachung, Kamera K's Photo's (CC BY-SA 2.0)
Diese Nachricht empfehlen
Kommentieren1
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!
Einloggen

Video-Empfehlungen

Tipp einsenden