Für Verbraucher
Für Unternehmen
Di, 09.10.2018 - 15:15

Siba-News

Mindestens 1,3 Millionen vernetzte Kameras in Deutschland verwundbar

Sicherheitsforscher haben in Hard- und Software des chinesischen Herstellers Xiongmai eine Reihe von Sicherheitslücken gefunden. Dessen Kameras werden unter verschiedenen Namen auch in Deutschland vertrieben. Betroffen sind hierzulande geschätzt mehr als 1,3 Millionen Kameras.

 

Die entdeckten Schwachstellen und –Lücken sind dabei gravierend und fahrlässig:

 

Die Kameras werden mit einem Standardkonto „admin“ ausgeliefert, das nicht durch ein Passwort geschützt wird. Hat der Besitzer der Kamera ein Passwort gesetzt, können Angreifer auf ein verstecktes Konto mit dem Namen „default“ zugreifen, das überall das gleiche, unveränderbare Passwort besitzt.

 

Ans Internet angeschlossene Kameras aufzuspüren und mit den genannten Konten zu übernehmen ist aufgrund weiterer Schwachstellen ebenfalls einfach: Die Identifikationsnummern der Geräte sind nicht randomisiert sondern vorhersehbar, der Webserver des Herstellers lässt beliebig viele Anfragen zu. Auf diese Weise können Angreifer mit ganz einfachen Programmen Kameras aufspüren und übernehmen.

 

Wurde eine Kamera gekapert, können die Angreifer gespeichertes Videomaterial sehen, löschen oder manipulieren und in manchen Fällen auch das Live-Video sehen. Auch beim Updatesystem gibt es Schwachstellen: Neue Software für die Kameras wird nicht auf Signaturen überprüft. So können Angreifer problemlos eigene Software aufspielen um die Kameras beispielsweise zu einem Botnetz zusammenzuschließen.

 

Es ist unklar, ob und wann Xiongmai tatsächlich die Sicherheitslücken schließt. Aufgrund der großen Gefährdung der Geräte und mangelnden Absicherungsmöglichkeiten empfehlen Experten, die Kameras vorerst vom Internet zu trennen.

 

SiBa rät beim Kauf von vernetzten Geräten immer sorgfältig vorab zu prüfen, ob es sich um einen vertrauenswürdigen Hersteller handelt: Veröffentlicht dieser regelmäßig Sicherheitsupdates? Wie geht das Unternehmen mit Sicherheitsvorfällen um? Werden die Produkte standardmäßig durch starke Passwörter geschützt?

Wie schütze ich mich?

Weitere Sicherheitshinweise

Datenbanken aus bisher unbekannten Hacks/Lecks
Nach den Datenbanken „Collections 1-5“, die Daten aus schon bekannten und älteren Datenlecks enthielten, wird nun ein neuer Datensatz im Internet zum Verkauf angeboten. Das brisante dabei: Die Datenbank enthält gestohlene Zugangsdaten von Webseiten, von denen bisher nicht bekannt war, dass sie Opfer eines Hacks doer Lecks geworden waren. Insgesamt sind Daten von 16 verschiedenen Webseiten... Mehr...
Updates für Apple-Geräte schließen Sicherheitslücken
Für iPhones, iPads und Mac-Rechner hat Apple Sicherheitsupdates veröffentlicht, die eine Reihe von Schwachstellen schließen. Darunter befinden sich auch mehrere kritische Sicherheitslücken. Hierzu gehört auch jene, die es erlaubte, bei Gruppentelefonaten das Mikrofon des Gesprächspartners zu aktivieren, bevor dieser abnahm. Um die Ausnutzung dieser Schwachstelle zu verhindern, hatte Apple in... Mehr...
Schwere Sicherheitslücke erlaubt das Auslesen des Schlüsselbunds bei macOS
Ein Sicherheitsforscher hat eine schwerwiegende Schwachstelle bei macOS entdeckt, mit deren Hilfe Angreifer den Schlüsselbund kompromitieren können. Dieser Schlüsselbund speichert unter anderem Zugangsdaten des jeweiligen Nutzers in verschlüsselter Form, doch laut dem Experten gelang es ihm, die Passwörter im Klartext auszulesen. Hierfür seien keine Admin- oder Root-Rechte erforderlich,... Mehr...
Deutschland sicher im Netz
Jetzt engagieren und Menschen aufklären
Jetzt bei DsiN mitmachen