Viren, Spyware, Datenschutz 11.212 Themen, 94.126 Beiträge

News: Peinliche Sicherheitslücke

Spanner-Alarm - IP-Webcams öffentlich angezapft

Michael Nickles / 28 Antworten / Flachansicht Nickles

Sogenannte IP-Webcams können direkt per Kabel oder WLAN an einen Router angeschlossen werden und übertragen Bilder und Live-Videostreams dann direkt ins Netz. Die komplette "Internetübertragungs-Software" steckt also in der Kamera. Zum Abruf der Kamera muss man nur ihre IP-Adresse kennen und die kann dann einfach mit einem Internet-Browser aufgerufen werden.

Normalerweise braucht es dann noch einen Benutzernamen und ein Passwort. Eine schwerwiegende Sicherheitslücke bei IP-Webcams des Herstellers Trendnet, sorgt jetzt für Aufregung. Diverse Webcam-Modelle (fast alle?) können auch von Laien simpel angezapft werden.

Entdeckt wurde das Problem bereits Anfang Januar vom Console Cowboys Blog - allerdings zunächst nur bei einem Trendnet-Modell.

Richtig in die Schlagzeilen kommt die Sache erst jetzt, weil sich der Verdacht erhärtet, dass zig Trendnet-Modelle betroffen sind, eventuell gar die komplette Produktpalette. Auf der Trendnet-Webseite gibt es bislang keinen Hinweis auf das Problem, Betroffene müssen selbst mitkriegen, dass sie dringend ein Firmware-Update brauchen.

Im Console Cowboys Blog ist ausführlich beschrieben, wie die Sicherheitslücke entdeckt wurde. Und noch schlimmer: auch, wie jeder Trottel betroffene Webcams anzapfen kann. Dazu muss in der "Hacker-Suchmaschine" Shodan einfach nach dem Begriff "netcam" gesucht werden. Das liefert direkt die IP-Adressen von Webcams.

Aktuell findet Shodan rund 2.700 Webcams in den USA und - an zweiter Stelle - rund 1.300 in Deutschland. Shodan listet allerdings alle gefundenen Webcams auf, nicht nur solche, die aufgrund der Sicherheitslücke frei zugänglich sind. Im Blog von Console Cowboys wurde allerdings ein Phyton-Script veröffentlicht, mit dem sich aus der Shodan-Fundliste die offenen Webcams rausfiltern lassen.

Für Besitzer einer Trendnet-Webcam herrscht also ausdrücklich Alarmstufe Rot. Die Webcams sollten sofort deaktiviert und ein Firmware-Update sollte beschafft werden.

Michael Nickles meint: Da es anscheinend nicht mal Geheimdienste schaffen eine abhörsicherere Telefonkonferenz zu basteln (siehe Telefonkonferenz zwischen FBI und Scottland Yard abgehört), kann man bei den Herstellern von "Internet-Spielzeugs" eigentlich nur restlos schwarz sehen.

An dieser Stelle noch eine kleine Warnung: auch mit einer "USB-Webcam", einer integrierten Webcam, kann man leicht ausspioniert werden. Das geht sogar mit "Freeware".

bei Antwort benachrichtigen
dl7awl Michael Nickles „Spanner-Alarm - IP-Webcams öffentlich angezapft“
Optionen

°
Da kommen Erinnerungen hoch, und ich muss hier mal was "outen"...

Ich hatte schon 2004 bei einer weit verbreiteten IP-Kamera eine grobe Sicherheitslücke entdeckt. Da diese Kamera (gab's baugleich auch unter anderen Brandings und als "noname"-Produkt) sich wegen ihrer großen Verbreitung immer noch vielfach im Einsatz befindet, gehe ich da mal genauer drauf ein.

Meine damalige Mail an Sitecom (Auszüge):

"die per Web-Oberfläche einrichtbaren Passworte für Administrator und User gaukeln eine trügerische Sicherheit vor. Beide stellen keinen wirklichen Schutz gegen unberechtigte Video-Zugriffe dar.
Denn damit wird, wie ich feststellen musste, lediglich die HTML-Oberfläche geschützt, nicht aber der Video-Stream als solcher. Dieser bleibt völlig ungeschützt!!!! Die User-Passworte verfehlen damit ihren eigentlichen und erklärten Zweck. Denn jeder Unbefugte kann das Java-Applet in beliebige eigene Seiten integrieren, und es wird ohne Passwort-Abfrage geladen und zeigt dann auch ohne Passwort-Abfrage den (möglicherweise vertraulichen) Video-Content an. Mehr noch: jeder Unbefugte ist damit auch in der Lage, willkürlich viel Traffic und somit Kosten zu produzieren, und könnte die Kamera sogar durch Denial-of-Service-Angriff praktisch lahmlegen."

(Zu Letzterem als Erläuterung: mehr als ~ 2-3 gleichzeitige Betrachter verkraftet der Embedded-Server so einer Kamera natürlich nicht. Wenn man den öffentlichen Zugriff nicht wirksam begrenzen kann, ist sie also mühelos per DoS lahmzulegen.)

Man reagierte zunächst prompt:

"Ich habe diesen Sachverhalt an unseren Chef-Techniker in Rotterdam gesendet. Ich hoffe, das dort dieses Problem umgehend gelöst werden kann."

Danach kam dann nichts Ernstzunehmendes mehr. Mehrmalige Nachfragen brachten vom gleichen Mitarbeiter nur noch dümmlichste Ausflüchte und Erklärungen, z.B. dass das, was ich beanstande, ja gerade der Sinn einer IP-Kamera sei. Wie bitte? Oder man müsse halt einen Router vorschalten und durch diesen den externen Zugriff auf eine bestimmte IP beschränken. Oder ein VPN verwenden. Haha! Selbst solche Flickschuster-"Lösungen", bei denen externer Zusatzaufwand die Schwächen der Kamera kaschieren soll, hätten nicht ermöglicht, was die Kamera von Haus aus zu können vorgibt: nämlich den Zugriff via Benutzernamen und Passworte auf einen frei festlegbaren Nutzerkreis zu beschränken.

Ich bezweifle, dass das Sicherheitsproblem jemals durch ein Firmware-Update behoben wurde. Selbst wenn, dürfte es die meisten Anwender gar nicht erreicht haben.

Gruß, Manfred

bei Antwort benachrichtigen