Sicherheitslücken machen Sicherheitskameras unsicher

Schlagzeilen

Alle

Sänger samt Familie grausam ermordet

USA erhöhen Zölle für E-Autos aus China

Das ist der neue Opel Frontera

Geissens aus Berliner Hotel evakuiert

Drohnenangriff? Zug in Russland entgleist

Priester verzockt Zehntausende am Handy

Der Ford Mustang kehrt zurück

Nach Abmahnung: Onlineshop lenkt ein

Unfall-Brücke in Baltimore gesprengt

Hier drohen Gewitter und Starkregen

"Traumschiff" engagiert neue Gaststars

Schumachers Uhren werden versteigert

Fesselndstes Strategiespiel des Jahres

Alle Schlagzeilen anzeigen

1,3 Mio. Geräte betroffen
Sicherheitslücke macht Sicherheitskameras unsicher

Von t-online, hd

10.10.2018Lesedauer: 2 Min.

Überwachungskameras (Symbolbild): Schwere Sicherheitsmängel entdeckt (Quelle: ANDRZEJ WOJCICKI/imago-images-bilder)

News folgen

Eine in 1,3 Millionen Kameras und digitale Videorecorder verbaute Technik einer chinesischen Firma hat enorme Sicherheitslücken und macht diese macht für Angreifer zu einem leichten Ziel.

Es klingt wie ein schlechter Witz: Eine Sicherheitslücke macht aus Sicherheitskameras ein Sicherheitsrisiko. "Offen wie ein Scheunentor", so formuliert es "heise security", stehe in der millionenfach verbauten Technik der Firma Xiongmai die Sicherheitslücken für Angreifer von Außen.

Millionen von Überwachungskameras und digitale Video-Recorder sind mit nicht zu ändernden Standard-Passwörtern wie "admin" versehen und einfach im Internet ausfindig zu machen. Das Gegenteil von "sicher".

Die unsicheren Geräte werden unter unter verschiedenen Markennamen in Deutschland angeboten, darunter sind unter anderem Asecam, Autoeye, Bestmo, digoo, Escam, Hiseeu, Hisvision, Loosafe, Sacam, Shell film, Susikum, Westmile, Westshine, Zclever, Zilnk und Zmodo.

Angreifer können Live-Videos sehen

Angreifer können sie aus der Ferne kapern, Videos anschauen oder manipulieren sowie Schadcode auf den Geräten ausführen. Die Sicherheitsfirma "SEC Consult", welche die Lücken entdeckt hat, vermutet mehr als 1,3 Millionen verwundbare Geräte in Deutschland.

Die Schwachstelle der Geräte steckt laut SEC Consult in einem Cloud-Dienst mit dem Namen "XMEye", der es erlaubt, über das Internet auf auf Videoaufnahmen zuzugreifen und die Geräte zu konfigurieren.

Eine Adresse, die sich leicht erraten lässt

Auch ist die ID-Nummer aus der einzigartigen MAC-Adresse des Gerätes abgeleitet. So lassen sich ID-Nummern von unbekannten Geräten leicht erraten. SEC Consult gelang es so, Tausende von Kameras im Netz aufzuspüren.

Angreifer können laut "heise security" in die Kamera oder den digitalen Recorder eindringen, sich Video-Aufzeichnungen anschauen, gespeicherte Videos löschen oder manipulieren und unter Umständen auch Live-Video abrufen und Schadcode auf die Geräte übertragen. So lassen sich die Geräte auch zu einem Botnetz zusammenschließen. Insgesamt ein Super-GAU in Sachen Sicherheit.

Einbrecher abschrecken: Diese Überwachungskameras sichern für Sie Haus und Garten

Nach Abmahnung: Temu kommt mit blauem Auge davon – und gelobt Besserung

iPhone-Update: Apple veröffentlicht iOS 17.5: Was sich ändert

Der Name der Firma taucht nicht auf

Für Nutzer ist es relativ schwer, herauszufinden, ob sie betroffen sind. Denn der Name des Herstellers Xiongmai taucht auf den Geräten nicht auf.

Google Home: verrät den Standort
Smart Home-Geräte: Jeder sechste Deutsche nutzt sie

Fortgeschrittene Nutzer können im Webinterface der Geräte hinter die Zugriffs-IP der Kamera den Zusatz "/err.html" anhängen. In der dann auftauchenden Warnmeldung wird der Name "Xiongmai" genannt - oder nicht. Dieser Trick scheint aber nicht immer zu funktionieren.

Verwendete Quellen