t-online - Nachrichten für Deutschland
t-online - Nachrichten für Deutschland
Such IconE-Mail IconMenü Icon



HomeDigitalAktuelles

Sicherheitslücken machen Sicherheitskameras unsicher


1,3 Mio. Geräte betroffen
Sicherheitslücke macht Sicherheitskameras unsicher

Von t-online, hd

10.10.2018Lesedauer: 2 Min.
Überwachungskameras (Symbolbild): Schwere Sicherheitsmängel entdecktVergrößern des Bildes
Überwachungskameras (Symbolbild): Schwere Sicherheitsmängel entdeckt (Quelle: ANDRZEJ WOJCICKI/imago-images-bilder)

Eine in 1,3 Millionen Kameras und digitale Videorecorder verbaute Technik einer chinesischen Firma hat enorme Sicherheitslücken und macht diese macht für Angreifer zu einem leichten Ziel.

Es klingt wie ein schlechter Witz: Eine Sicherheitslücke macht aus Sicherheitskameras ein Sicherheitsrisiko. "Offen wie ein Scheunentor", so formuliert es "heise security", stehe in der millionenfach verbauten Technik der Firma Xiongmai die Sicherheitslücken für Angreifer von Außen.

Millionen von Überwachungskameras und digitale Video-Recorder sind mit nicht zu ändernden Standard-Passwörtern wie "admin" versehen und einfach im Internet ausfindig zu machen. Das Gegenteil von "sicher".

Die unsicheren Geräte werden unter unter verschiedenen Markennamen in Deutschland angeboten, darunter sind unter anderem Asecam, Autoeye, Bestmo, digoo, Escam, Hiseeu, Hisvision, Loosafe, Sacam, Shell film, Susikum, Westmile, Westshine, Zclever, Zilnk und Zmodo.

Angreifer können Live-Videos sehen

Angreifer können sie aus der Ferne kapern, Videos anschauen oder manipulieren sowie Schadcode auf den Geräten ausführen. Die Sicherheitsfirma "SEC Consult", welche die Lücken entdeckt hat, vermutet mehr als 1,3 Millionen verwundbare Geräte in Deutschland.

Die Schwachstelle der Geräte steckt laut SEC Consult in einem Cloud-Dienst mit dem Namen "XMEye", der es erlaubt, über das Internet auf auf Videoaufnahmen zuzugreifen und die Geräte zu konfigurieren.

Eine Adresse, die sich leicht erraten lässt

Auch ist die ID-Nummer aus der einzigartigen MAC-Adresse des Gerätes abgeleitet. So lassen sich ID-Nummern von unbekannten Geräten leicht erraten. SEC Consult gelang es so, Tausende von Kameras im Netz aufzuspüren.

Angreifer können laut "heise security" in die Kamera oder den digitalen Recorder eindringen, sich Video-Aufzeichnungen anschauen, gespeicherte Videos löschen oder manipulieren und unter Umständen auch Live-Video abrufen und Schadcode auf die Geräte übertragen. So lassen sich die Geräte auch zu einem Botnetz zusammenschließen. Insgesamt ein Super-GAU in Sachen Sicherheit.

Der Name der Firma taucht nicht auf

Für Nutzer ist es relativ schwer, herauszufinden, ob sie betroffen sind. Denn der Name des Herstellers Xiongmai taucht auf den Geräten nicht auf.

Fortgeschrittene Nutzer können im Webinterface der Geräte hinter die Zugriffs-IP der Kamera den Zusatz "/err.html" anhängen. In der dann auftauchenden Warnmeldung wird der Name "Xiongmai" genannt - oder nicht. Dieser Trick scheint aber nicht immer zu funktionieren.

Verwendete Quellen
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...

ShoppingAnzeigen

Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...



TelekomCo2 Neutrale Website