Viren, Spyware, Datenschutz 11.215 Themen, 94.214 Beiträge

News: Lächerliche Sicherheitslücke

Spanner-Alarm: Aldi IP-Überwachungskameras ohne Passwort fernsteuerbar

Michael Nickles / 3 Antworten / Flachansicht Nickles
Zu den betroffenen Kameras gehört unter anderem die Maginon IPC-20 C Außenüberwachungskamera. (Foto: Supra)

Als "Sicherheitsgau" bezeichnet Heise Aldis Verkauf diverser IP-Überwachungskameras im vergangenen Jahr. Konkret handelt es sich um drei Modelle des Herstellers Supra mit der Markenbezeichnung Maginon_ IPC-10 AC, IPC-100 AC und IPC-20-C.

Die Kameras wurden bei Aldi Nord, Süd und auch in der Schweiz und Österreich verkauft.

Der Gau entstand ganz einfach dadurch, dass die Kameras im Auslieferungszustand auch ohne vergebenes Passwort Zugang per Internet fernsteuerbar sind. Im schlimmsten Fall kann ein "Spanner" nicht nur das Bild einer Kamera abgreifen. Er kann auch deren Motoren steuern um den Bildausschnitt zu wählen, das Mikrofon anzapfen und dank Infrarot-LEDs der Kameras sogar im Dunkeln mitgucken.

Und es ist laut Heise sogar noch übler. Im ausgelieferten Werkszustand können Angreifer sogar die komplette Konfiguration der Kamera und auslesen. Darunter befinden sich auch das WLAN-Passwort, sowie je nach Situation die Zugangsdaten für Email- und FTP.

Aktuell wird davon ausgegangen, dass rund ein Drittel der betroffenen Kameras ungeschützt ausspioniert werden können. Zwar gibt es inzwischen Firmware-Updates, die Nutzer zur Vergabe eines Passworts zwingen, aber die werden nicht automatisch eingespielt.

Wer eines der besagten Kamera-Modelle im Einsatz hat sollte also schleunigst die aktuellste Firmware einspielen und ein Passwort vergeben.

Michael Nickles meint:

Der Gau beginnt direkt beim Hersteller. Es ist verantwortungslos Geräte mit derart primitiven Sicherheitslücken in den Handel zu bringen - weil halt auch vom extrem dümmsten Kunden ausgegangen werden muss, der keinen blassen Dunst von Passwörtern und Sicherheit hat.

Ein bisschen zu verteidigen ist der Hersteller allerdings. Die Gewinnmarge ist beim Verkauf über Aldi gewiss gering und es besteht wohl Zwang, Zusatzkosten zu sparen. Wenn ein Ding nicht einfach sofort funktioniert, besteht das Risiko, dass Kunden sich bei Aldi beschweren oder eben den Support des Herstellers stressen.

Wie macht man ein IP-Dingsbums so sicher, dass selbst ein Volltrottel keine Chance hat es offen wie ein Scheunentor oder leicht knackbar in Betrieb nehmen zu können? Vorbildlich ist das Problem beispielsweise beim Zyxel Speedlink 5501 Modem/Router, mit dem unter anderem die Telekom aktuell ihre VDSL-Kunden ausstattet.

Um das Gerät in Betrieb zu nehmen muss man per Browser erstmal seine Konfiguration durchführen. Beim Einloggen in das Setup-Menü gibt es keine Standardzugangsdaten - einer der typischen Sicherheitsböcke die lange Zeit verbrochen wurde. Als Benutzername wird zwar "admin" vorgeschlagen, das Passwort muss der Kunde aber selbst vergeben.

Vergisst er irgendwann sein Passwort, kann das Gerät mit einer "Büroklammer" in den Werkszustand versetzt werden und es ist erneut die Vergabe eines Passworts nötig. Den Fall, dass man nach einem Reset erstmal nach einem "Standardpasswort" suchen muss, gibt es also nicht.

Bei den WLAN-Einstellungen ist ein recht langer komplizierter Schlüssel voreingestellt von dem ich vermute, dass er bei jedem Gerät bei Auslieferungszustand anders ist. Diese Kombination aus Zwangspasswortforderung und voreingestelltem komplizierten WLAN-Passwort ist recht sicher, auch Laien werden dazu gezwungen sich mit den Sicherheitseinstellungen zu beschäftigen.

bei Antwort benachrichtigen
Michael Nickles luttyy „Ich bin halt von der kurzen Sorte und muss zum Glück keine redaktionelle Beiträge schreiben ...“
Optionen

Wer News veröffentlichen möchte sollte die nicht als normale Beiträge veröffentlichen sondern als News. Dazu gibt es im Editor oben einen Reiter namens "Newsbeitrag":

Grüße,
Mike

bei Antwort benachrichtigen