Anfällige Sicherheitskameras
Eine Untersuchung zeigt, wie Sicherheitskameras und Babyphones zum Überwachungstool zweckentfremdet werden können.
Gemäss Kaspersky Lab wurden mehrere Sicherheitslücken in beliebten Smart-Kameras entdeckt, die häufig für die interne Sicherheitsüberwachung oder als Babyphone eingesetzt werden [1]. Bereits frühere Untersuchungen haben gezeigt, dass vernetzte Kameras Schwachstellen aufweisen [2]. Die aktuelle Untersuchung der Kaspersky-Experten zeigt, dass eine ganze Reihe von Smart-Kameras anfällig für schwerwiegende Fernangriffe ist. Grund dafür ist das Cloud-Backbone-System, das ursprünglich den Besitzern der Kameras den Fernzugriff auf Videos von ihren Geräten ermöglichen sollte.
Durch Ausnutzen der Schwachstellen wären Angreifer in der Lage:
- Zugang zu Video- und Tonaufnahmen jeder Kamera zu erhalten, die mit dem verwundbaren Cloud-Service verbunden ist
- Root-Zugang per Fernzugriff auf eine Kamera zu erlangen und diese als Eingangstor für weitere Attacken auf weiteren Geräten im lokalen als auch externen Netzwerk zu nutzen
- per Fernzugriff schädlichen Code auf die Kameras hochzuladen und auszuführen
- persönliche Daten wie Zugangsdaten zu sozialen Netzwerken sowie Informationen, die genutzt werden, um den Nutzer Benachrichtigungen zu senden, zu stehlen
- die verwundbaren Kameras per Fernzugriff unbenutzbar zu machen
Nach der Entdeckung wurden die Sicherheitslücken an Hanwha Techwin gemeldet, den Hersteller der betroffenen Kameras. Zum Zeitpunkt der Veröffentlichung wurden einige Schwachstellen bereits behoben, der Rest der Schwachstellen wird laut Hersteller bald vollständig behoben sein.
All diese Dinge waren möglich, weil Experten herausgefunden haben, dass die Art und Weise, wie die Kameras mit dem Cloud-Dienst interagieren, unsicher und mit leichten Mitteln zu beeinträchtigen sind. Sie fanden zudem heraus, dass die Architektur des Cloud-Dienstes selbst anfällig für Störungen von aussen ist.
Diese Art Angriff ist nur möglich, wenn Angreifer die Seriennummer der jeweiligen Kamera kennen. Die Art und Weise, wie diese jedoch erzeugt werden, ist relativ einfach durch Brute-Force-Angriffe herauszufinden, da das Registrierungssystem für Kameras nicht über einen dedizierten Schutz dagegen verfügt.
Während der Untersuchung fanden die Experten fast 2000 verwundbare Kameras im Internet. Dabei handelt es sich jedoch nur um jene mit eigener IP-Adresse. Sie sind damit direkt aus dem Internet erreichbar; die tatsächliche Anzahl der anfälligen Geräte hinter Routern oder Firewalls könnte um ein Vielfaches höher sein.
Darüber hinaus fanden die Fachleute eine nicht-dokumentierte Funktion, die vom Hersteller für die Endproduktionstests verwendet werden konnte. Damit konnten Angreifer falsche Signale an eine Kamera senden oder einen Befehl ändern, der bereits an sie gesendet wurde. Die Funktion selbst wurde ebenfalls als anfällig eingestuft. Sie konnte darüber hinaus mit einem Buffer Overflow weiter ausgenutzt werden und zum Herunterfahren der Kamera führen. Der Anbieter hat das Problem bereits behoben und diese Funktion entfernt.
„Das Problem mit der aktuellen IoT-Gerätesicherheit ist, dass sowohl Kunden als auch Anbieter irrtümlicherweise denken, dass wenn sie das Gerät in ihr Netzwerk integrieren und es mit Hilfe eines Routers vom weiteren Internet trennen, sie damit die meisten Sicherheitsprobleme lösen – oder zumindest den Schweregrad der bestehenden Probleme verringern“, so Vladimir Dashchenko, von Kaspersky Lab. „In vielen Fällen ist dies richtig: Bevor Sicherheitslücken in Geräten innerhalb eines Zielnetzwerks ausgenutzt werden können, müsste man Zugriff auf den Router erhalten. Unsere Untersuchungen zeigen jedoch, dass dies nicht zwingend der Fall sein muss. Die von uns untersuchten Kameras konnten lediglich über einen Cloud-Dienst mit der Aussenwelt kommunizieren, der völlig verwundbar ist. Interessant ist, dass neben den zuvor beschriebenen Angriffsvektoren wie Malware-Infektionen und Botnets auch Kameras zum Mining verwendet werden. Während Mining auf Unternehmensrechnern ein mögliches Resultat eines erfolgreichen Angriffs ist und damit die Sicherheit von Unternehmen bedroht, ist IoT-Mining aufgrund der zunehmenden Anzahl an IoT-Geräten ein aufkommender Trend, der auch weiterhin anwachsen wird.“
Hanwha Techwin kommentiert: „Die Sicherheit unserer Kunden hat für uns höchste Priorität. Wir haben bereits die Sicherheitslücken der Kamera behoben, einschliesslich des Remote-Uploads und der Ausführung von beliebigem Schadcode. Wir haben die aktualisierte Firmware für alle Benutzer freigegeben. Einige Schwachstellen im Zusammenhang mit der Cloud wurden erkannt und werden in Kürze behoben.“
Sicherheitstipps
Kaspersky Lab rät Privatanwendern:
- voreingestellte Passwörter immer zu ändern. Das Passwort sollte aus mindestens 16 Zeichen und einer Kombination aus Gross- und Kleinbuchstaben sowie Zahlen und Sonderzeichen bestehen;
- vor dem Kauf eines vernetzten Gerätes auf bekannte Sicherheitsprobleme zu achten. Informationen zu bekannten Schwachstellen und verfügbaren Patches sind online zu finden.
Kaspersky Lab empfiehlt Unternehmen, die eigenen Cybersicherheitsstandards zu verbessern und das Bedrohungsrisiko zu verstehen und zu bewerten sowie von Beginn an eine sichere Umgebung zu entwickeln. Kaspersky Lab arbeitet daher aktiv mit Anbietern zusammen und informiert entsprechend über entdeckte Sicherheitslücken.
Mehr Informationen zu den gefundenen Schwachstellen in Smart-Kameras sind verfügbar unter https://securelist.com/somebodys-watching-when-cameras-are-more-than-just-smart/84309/
[1] https://securelist.com/somebodys-watching-when-cameras-are-more-than-just-smart/84309/
Pressemeldung: Kaspersky Lab
