1,3 Mio. Geräte betroffen Sicherheitslücke macht Sicherheitskameras unsicher
Eine in 1,3 Millionen Kameras und digitale Videorecorder verbaute Technik einer chinesischen Firma hat enorme Sicherheitslücken und macht diese macht für Angreifer zu einem leichten Ziel.
Es klingt wie ein schlechter Witz: Eine Sicherheitslücke macht aus Sicherheitskameras ein Sicherheitsrisiko. "Offen wie ein Scheunentor", so formuliert es "heise security", stehe in der millionenfach verbauten Technik der Firma Xiongmai die Sicherheitslücken für Angreifer von Außen.
Millionen von Überwachungskameras und digitale Video-Recorder sind mit nicht zu ändernden Standard-Passwörtern wie "admin" versehen und einfach im Internet ausfindig zu machen. Das Gegenteil von "sicher".
Die unsicheren Geräte werden unter unter verschiedenen Markennamen in Deutschland angeboten, darunter sind unter anderem Asecam, Autoeye, Bestmo, digoo, Escam, Hiseeu, Hisvision, Loosafe, Sacam, Shell film, Susikum, Westmile, Westshine, Zclever, Zilnk und Zmodo.
Angreifer können Live-Videos sehen
Angreifer können sie aus der Ferne kapern, Videos anschauen oder manipulieren sowie Schadcode auf den Geräten ausführen. Die Sicherheitsfirma "SEC Consult", welche die Lücken entdeckt hat, vermutet mehr als 1,3 Millionen verwundbare Geräte in Deutschland.
Die Schwachstelle der Geräte steckt laut SEC Consult in einem Cloud-Dienst mit dem Namen "XMEye", der es erlaubt, über das Internet auf auf Videoaufnahmen zuzugreifen und die Geräte zu konfigurieren.
Eine Adresse, die sich leicht erraten lässt
Auch ist die ID-Nummer aus der einzigartigen MAC-Adresse des Gerätes abgeleitet. So lassen sich ID-Nummern von unbekannten Geräten leicht erraten. SEC Consult gelang es so, Tausende von Kameras im Netz aufzuspüren.
Angreifer können laut "heise security" in die Kamera oder den digitalen Recorder eindringen, sich Video-Aufzeichnungen anschauen, gespeicherte Videos löschen oder manipulieren und unter Umständen auch Live-Video abrufen und Schadcode auf die Geräte übertragen. So lassen sich die Geräte auch zu einem Botnetz zusammenschließen. Insgesamt ein Super-GAU in Sachen Sicherheit.
Der Name der Firma taucht nicht auf
Für Nutzer ist es relativ schwer, herauszufinden, ob sie betroffen sind. Denn der Name des Herstellers Xiongmai taucht auf den Geräten nicht auf.
- Google Home: verrät den Standort
- Smart Home-Geräte: Jeder sechste Deutsche nutzt sie
Fortgeschrittene Nutzer können im Webinterface der Geräte hinter die Zugriffs-IP der Kamera den Zusatz "/err.html" anhängen. In der dann auftauchenden Warnmeldung wird der Name "Xiongmai" genannt - oder nicht. Dieser Trick scheint aber nicht immer zu funktionieren.
- Eigene Recherche
- Bericht bei "heise security"