Abo
  • Services:

Foscam: IoT-Hersteller ignoriert Sicherheitslücken monatelang

Die IoT-Apokalypse hört nicht auf: Erneut wurden zahlreiche Schwachstellen in einer IP-Kamera dokumentiert. Der Hersteller reagiert mehrere Monate lang nicht auf die Warnungen, bestreitet aber einige der Schilderungen.

Artikel veröffentlicht am ,
Erneut sind unsichere IP-Kameras aufgetaucht.
Erneut sind unsichere IP-Kameras aufgetaucht. (Bild: F-Secure)

Der chinesiche IoT-Hersteller Foscam stellt unter verschiedenen Markennamen IP-Kameras her, die offenbar zahlreiche Sicherheitslücken enthalten. Ein Bericht [PDF] der finnischen Sicherheitsfirma F-Secure listet 18 verschiedene Schwachstellen auf, die der Hersteller auch nach mehrmonatiger Frist offenbar nicht schließen konnte oder wollte.

Stellenmarkt
  1. Bosch Gruppe, Berlin
  2. OKI EUROPE LIMITED, Branch Office Düsseldorf, Düsseldorf

Die Schwachstellen betreffen die Geräte mit dem Namen Opticam i5 HD, auch die Geräte mit dem Namen Foscam C2 sind anfällig für Angriffe. Das Modell Foscam C2 wird auch in Deutschland vertrieben. Angreifer können unter anderem ohne Zugangskontrolle Zugriff auf den internen Speicher des Gerätes erlangen und auf diesem Wege Befehle ausführen.

Auch der Zugriff auf die Weboberfläche ist nicht abgesichert. Als Benutzername wird admin eingegeben, ein Passwort ist nicht erforderlich. Immerhin: Dieses Passwort kann vom Nutzer geändert werden. Über die Oberfläche können nicht nur Dateien manipuliert, sondern auch der Videofeed der Kamera selbst angezeigt werden. Der integrierte FTP-Server verwendet ein hardcodiertes Passwort, das nicht den üblichen Kriterien für sichere Passwörter entsprechen dürfte - denn es ist leer. Ein sicheres Passwort kann leider nicht vergeben werden.

Zahlreiche weitere Schwachstellen

Der Bericht listet zahlreiche weitere Schwachstellen in den beiden Geräten auf. So können vom Angreifer Befehle in die Datei im Verzeichnis /mnt/mtd/boot.sh eingeführt werden, zahlreiche Berechtigungen sind falsch gesetzt und auch die integrierte Firewall arbeitet nicht korrekt. Angreifer können außerdem die verschlüsselte Konfigurationsdatei auslesen und herunterladen. Diese ist nicht mit individuellen Passwörtern gesichert, sondern ebenfalls mit einem hardcodierten String. Wer die Firmware analysiert, kann also das entsprechende Passwort herausfinden. So viel Arbeit ist aber nicht unbedingt notwendig, weil das Admin-Interface kein Rate-Limiting beim Ausprobieren von Passwörtern vorsieht. Mit Hilfe eines Wörterbuchs kann daher ein Brute-Force-Angriff durchgeführt werden.

"Die Sicherheit wurde bei diesen Produkten komplett ignoriert", sagte der F-Secure-Forscher Harry Sintonen. "Augenscheinlich ging es dem Hersteller nur darum, das Gerät schnell fertigzustellen und auf den Markt zu werfen. Gängige Sicherheitspraktiken wurden links liegen gelassen, das gefährdet Nutzer und Netzwerke. Ironischerweise sollen diese Kameras mehr Sicherheit zu Hause bieten - während sie gleichzeitig das virtuelle Heim unsicherer machen."

F-Secure empfiehlt, die Kamera - wenn überhaupt - in einem segmentierten Netzwerkbereich mit einer effektiven Zugangskontrolle zu betreiben. Gegen die hardcodierten Zugangsdaten für den FTP-Server gibt es allerdings keine Abhilfe, auch die anderen lokal ausnutzbaren Schwachstellen können vom Nutzer nicht behoben werden.

Nachtrag vom 19. Juni 2017, 13:52 Uhr

Auf Nachfrage von Golem.de bestreitet Foscam einige der von F-Secure beschriebenen Sicherheitslücken (PDF). Das Unternehmen bedankt sich bei F-Secure für die Hinweise. F-Secure bleibt auch auf Nachfrage von Golem.de im Wesentlichen bei der oben beschriebenen Darstellung der Sicherheitslücken.



Anzeige
Hardware-Angebote
  1. 399€ (Vergleichspreis ab 467€)
  2. (reduzierte Überstände, Restposten & Co.)
  3. 119,90€

thesmann 21. Jun 2017

Ich hab nie verstanden warum man direkt auf eine Kamera zugreifen soll. Idealerweise...

IchbinGroot 20. Jun 2017

Ich bin Groot. ;-)

Charles... 20. Jun 2017

Aha. Dann erklär mir doch mal, wie genau du mein System angreifen würdest...

chefin 20. Jun 2017

Das ist dann eine DMZ und kein Gäste-WLAN. Der Unterschied ist das Passwort. Manche...

johnripper 19. Jun 2017

Früher haben die Hersteller auch nicht dermaßen auf Sicherheit ge*** wie heute. Internet...


Folgen Sie uns
       


Probefahrt mit dem Audi E-Tron - Bericht

Golem.de hat den neuen Audi E-Tron auf einem Ausflug in die Wüste von Abu Dhabi getestet.

Probefahrt mit dem Audi E-Tron - Bericht Video aufrufen
Red Dead Online angespielt: Schweigsam auf der Schindmähre
Red Dead Online angespielt
Schweigsam auf der Schindmähre

Der Multiplayermodus von Red Dead Redemption 2 schickt uns als ehemaligen Strafgefangenen in den offenen Wilden Westen. Golem.de hat den handlungsgetriebenen Einstieg angespielt - und einen ersten Onlineüberfall gemeinsam mit anderen Banditen unternommen.

  1. Spielbalance Updates für Red Dead Online und Battlefield 5 angekündigt
  2. Rockstar Games Red Dead Redemption 2 geht schrittweise online
  3. Games US-Spielemarkt erreicht Rekordumsätze

IMHO: Valves Ka-Ching mit der Brechstange
IMHO
Valves "Ka-Ching" mit der Brechstange

Es klingelt seit Jahren in den Kassen des Unternehmens von Gabe Newell. Dabei ist die Firma tief verschuldet - und zwar in den Herzen der Gamer.
Ein IMHO von Michael Wieczorek

  1. Artifact im Test Zusammengewürfelt und potenziell teuer
  2. Artifact Erste Kritik an Kosten von Valves Sammelkartenspiel
  3. Virtual Reality Valve arbeitet an VR-Headset und Half-Life-Titel

Sony-Kopfhörer WH-1000XM3 im Test: Eine Oase der Stille oder des puren Musikgenusses
Sony-Kopfhörer WH-1000XM3 im Test
Eine Oase der Stille oder des puren Musikgenusses

Wir haben die dritte Generation von Sonys Top-ANC-Kopfhörer getestet - vor allem bei der Geräuschreduktion hat sich einiges getan. Wer in lautem Getümmel seine Ruhe haben will, greift zum WH-1000XM3. Alle Nachteile der Vorgängermodelle hat Sony aber nicht behoben.
Ein Test von Ingo Pakalski


      •  /