Abo
  • Services:
Anzeige
Erneut sind unsichere IP-Kameras aufgetaucht.
Erneut sind unsichere IP-Kameras aufgetaucht. (Bild: F-Secure)

Foscam: IoT-Hersteller ignoriert Sicherheitslücken monatelang

Erneut sind unsichere IP-Kameras aufgetaucht.
Erneut sind unsichere IP-Kameras aufgetaucht. (Bild: F-Secure)

Die IoT-Apokalypse hört nicht auf: Erneut wurden zahlreiche Schwachstellen in einer IP-Kamera dokumentiert. Der Hersteller reagiert mehrere Monate lang nicht auf die Warnungen, bestreitet aber einige der Schilderungen.

Der chinesiche IoT-Hersteller Foscam stellt unter verschiedenen Markennamen IP-Kameras her, die offenbar zahlreiche Sicherheitslücken enthalten. Ein Bericht [PDF] der finnischen Sicherheitsfirma F-Secure listet 18 verschiedene Schwachstellen auf, die der Hersteller auch nach mehrmonatiger Frist offenbar nicht schließen konnte oder wollte.

Anzeige

Die Schwachstellen betreffen die Geräte mit dem Namen Opticam i5 HD, auch die Geräte mit dem Namen Foscam C2 sind anfällig für Angriffe. Das Modell Foscam C2 wird auch in Deutschland vertrieben. Angreifer können unter anderem ohne Zugangskontrolle Zugriff auf den internen Speicher des Gerätes erlangen und auf diesem Wege Befehle ausführen.

Auch der Zugriff auf die Weboberfläche ist nicht abgesichert. Als Benutzername wird admin eingegeben, ein Passwort ist nicht erforderlich. Immerhin: Dieses Passwort kann vom Nutzer geändert werden. Über die Oberfläche können nicht nur Dateien manipuliert, sondern auch der Videofeed der Kamera selbst angezeigt werden. Der integrierte FTP-Server verwendet ein hardcodiertes Passwort, das nicht den üblichen Kriterien für sichere Passwörter entsprechen dürfte - denn es ist leer. Ein sicheres Passwort kann leider nicht vergeben werden.

Zahlreiche weitere Schwachstellen

Der Bericht listet zahlreiche weitere Schwachstellen in den beiden Geräten auf. So können vom Angreifer Befehle in die Datei im Verzeichnis /mnt/mtd/boot.sh eingeführt werden, zahlreiche Berechtigungen sind falsch gesetzt und auch die integrierte Firewall arbeitet nicht korrekt. Angreifer können außerdem die verschlüsselte Konfigurationsdatei auslesen und herunterladen. Diese ist nicht mit individuellen Passwörtern gesichert, sondern ebenfalls mit einem hardcodierten String. Wer die Firmware analysiert, kann also das entsprechende Passwort herausfinden. So viel Arbeit ist aber nicht unbedingt notwendig, weil das Admin-Interface kein Rate-Limiting beim Ausprobieren von Passwörtern vorsieht. Mit Hilfe eines Wörterbuchs kann daher ein Brute-Force-Angriff durchgeführt werden.

"Die Sicherheit wurde bei diesen Produkten komplett ignoriert", sagte der F-Secure-Forscher Harry Sintonen. "Augenscheinlich ging es dem Hersteller nur darum, das Gerät schnell fertigzustellen und auf den Markt zu werfen. Gängige Sicherheitspraktiken wurden links liegen gelassen, das gefährdet Nutzer und Netzwerke. Ironischerweise sollen diese Kameras mehr Sicherheit zu Hause bieten - während sie gleichzeitig das virtuelle Heim unsicherer machen."

F-Secure empfiehlt, die Kamera - wenn überhaupt - in einem segmentierten Netzwerkbereich mit einer effektiven Zugangskontrolle zu betreiben. Gegen die hardcodierten Zugangsdaten für den FTP-Server gibt es allerdings keine Abhilfe, auch die anderen lokal ausnutzbaren Schwachstellen können vom Nutzer nicht behoben werden.

Nachtrag vom 19. Juni 2017, 13:52 Uhr

Auf Nachfrage von Golem.de bestreitet Foscam einige der von F-Secure beschriebenen Sicherheitslücken (PDF). Das Unternehmen bedankt sich bei F-Secure für die Hinweise. F-Secure bleibt auch auf Nachfrage von Golem.de im Wesentlichen bei der oben beschriebenen Darstellung der Sicherheitslücken.


eye home zur Startseite
thesmann 21. Jun 2017

Ich hab nie verstanden warum man direkt auf eine Kamera zugreifen soll. Idealerweise...

IchbinGroot 20. Jun 2017

Ich bin Groot. ;-)

Charles... 20. Jun 2017

Aha. Dann erklär mir doch mal, wie genau du mein System angreifen würdest...

chefin 20. Jun 2017

Das ist dann eine DMZ und kein Gäste-WLAN. Der Unterschied ist das Passwort. Manche...

johnripper 19. Jun 2017

Früher haben die Hersteller auch nicht dermaßen auf Sicherheit ge*** wie heute. Internet...



Anzeige

Stellenmarkt
  1. Fresenius Medical Care Deutschland GmbH, Bad Homburg
  2. Daimler AG, Hamburg
  3. Continental AG, Eschborn, Regensburg
  4. IT-Choice Software AG, Karlsruhe


Anzeige
Blu-ray-Angebote
  1. (u. a. Game of Thrones, The Big Bang Theory)
  2. zusätzlich 5 EUR Sofortrabatt sichern
  3. (u. a. Mission Impossible 1-5 Box 16,97€ und Death Race 1-3 9,94€ + 5€ FSK-18-Versand)

Folgen Sie uns
       


  1. Umweltbundesamt

    Software-Updates für Diesel reichen nicht

  2. Acer Nitro 5 Spin

    Auf dem Gaming-Convertible spielen und zeichnen

  3. Galaxy Note 8 im Hands on

    Auch das Galaxy Note sieht jetzt doppelt - für 1.000 Euro

  4. Microsoft

    Git-Umzug von Windows-Team abgeschlossen

  5. Play Store

    Google entfernt 500 Android-Apps mit 100 Millionen Downloads

  6. DreamHost

    US-Regierung will nun doch keine Daten von Trump-Gegnern

  7. Project Brainwave

    Microsoft beschleunigt KI-Technik mit Cloud-FPGAs

  8. Microsoft

    Im Windows Store gibt es viele illegale Streaming-Apps

  9. Alpha-One

    Lamborghini-Smartphone für über 2.000 Euro vorgestellt

  10. Wireless-AC 9560

    Intel packt WLAN in den Prozessor



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Starcraft Remastered im Test: Klick, klick, klick, klick, klick als wär es 1998
Starcraft Remastered im Test
Klick, klick, klick, klick, klick als wär es 1998
  1. Blizzard Der Name Battle.net bleibt
  2. Starcraft Remastered "Mit den Protoss kann man seinen Gegner richtig nerven!"
  3. E-Sport Blizzard nutzt Gamescom für europäische WoW-Finalspiele

Fujitsu Lifebook U937 im Test: 976 Gramm reichen für das fast perfekte Notebook
Fujitsu Lifebook U937 im Test
976 Gramm reichen für das fast perfekte Notebook
  1. DLU Fujitsu entwickelt Deep-Learning-Chips

Game of Thrones: Die Kunst, Fiktion mit Wirklichkeit zu verschmelzen
Game of Thrones
Die Kunst, Fiktion mit Wirklichkeit zu verschmelzen
  1. HBO Nächste Episode von Game of Thrones geleakt
  2. Hack Game-of-Thrones-Skript von HBO geleakt
  3. Game of Thrones "Der Winter ist da und hat leider unsere Server eingefroren"

  1. Mir gefällt es!

    Wolffran | 19:20

  2. Re: Was bringts? Wenn wieder

    jake | 19:20

  3. Re: Umweltpremie für Touareg - ein Witz

    ArcherV | 19:18

  4. Re: Fehler im Artikel

    tk (Golem.de) | 19:18

  5. Re: 300gb Junge Junge

    TrudleR | 19:17


  1. 17:51

  2. 17:08

  3. 17:00

  4. 16:55

  5. 16:38

  6. 16:08

  7. 15:54

  8. 14:51


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel