IP-Kameras: Wie man ein Botnetz durch die Firewall baut

Wie könnte ein Botnetz auch IoT-Kameras erreichen, die nicht direkt am Internet hängen, sondern hinter einer Firewall oder einem Router? Sicherheitslücken in Clouddiensten ließen solche Angriffe zu - sagen Hacker auf der Deepsec.

Artikel veröffentlicht am ,
Zahlreiche IP-Kameras können auch ohne offene Telnet-Ports aus der Ferne gesteuert werden.
Zahlreiche IP-Kameras können auch ohne offene Telnet-Ports aus der Ferne gesteuert werden. (Bild: Sricam)

Das Mirai-Botnetz könnte schon bald einen Nachfolger bekommen - ebenfalls aus IP-Kameras. Auf der Sicherheitskonferenz Deepsec in Wien demonstrierten die Hacker Balthasar Martin und Fabian Bräunlein, wie auch besser gesicherte Kameras ohne direkten Internetzugriff und ohne offene Telnet-Ports in ein Botnetz verwandelt werden können. Dazu nutzten sie Schwachstellen in den Clouddiensten der Hersteller, die zur Steuerung der Geräte verwendet werden können.

Inhalt:
  1. IP-Kameras: Wie man ein Botnetz durch die Firewall baut
  2. Alle Kameras können in einer Stunde durchprobiert werden

Martin und Bräunlein, die beide für die Berliner Sicherheitsfirma Security Research Labs arbeiten, wollten herausfinden, ob ein möglicher Mirai-Nachfolger auch Geräte nutzen könnte, die nicht über ganz offensichtliche Falschkonfigurationen angreifbar sind. Ihr Testobjekt war ein Gerät des Herstellers Sricam. Das Gerät steht aber nur beispielhaft für zahlreiche Kameras mit der Gwell-Firmware, die unter verschiedenen Markennamen verkauft werden.

Diese bieten eine Video-und Sprachverbindung, mit zwei Geräten ist eine Videokonferenz möglich. Außerdem können Firmware-Updates eingespielt werden. Die Verwaltung findet nicht über ein Webinterface statt, sondern über eine Smartphone-App. Zumindest auf den ersten Blick gibt es laut Referenten keine einfache Möglichkeit, der Kamera Kommandos unterzuschieben.

800.000 Geräte ließen sich fernsteuern

Und trotzdem: Nach etwas Probieren gelang es den beiden Forschern, rund 800.000 Geräte aus der Ferne zu kontrollieren. Als Einfallstor dienten aber in diesem Fall nicht die Kameras selbst, sondern die Clouddienste der Hersteller. Um sich mit dem Backend zu verbinden, sendet die Kamera regelmäßig ein UDP-Paket an den Server.

Stellenmarkt
  1. Trainee Finance & Controlling (m/w/d)
    AOK PLUS - Die Gesundheitskasse für Sachsen und Thüringen, Dresden, Erfurt
  2. Technical Account Manager (m/f/d)
    SoSafe GmbH, Köln (Home-Office möglich)
Detailsuche

Dieser weiß somit, wie die Kamera erreichbar ist. Kontrollpakete an die App werden nicht direkt von der App an die Kamera gesendet, sondern vom Backend-System gepusht. Beispiele für kompatible Backends sind videoipcamera.com und videoipcamera.cn sowie die Adressen cloud-links.net und cloudlinks.cn. Eine Verschlüsselung des Traffics mittels TLS findet nicht statt.

Jede Kamera bekommt je nach Firmwareversion eine sechs- oder siebenstellige Device-ID. Diese IDs können einfach mitgeschnitten werden, wenn der Datenverkehr der Verwaltungsapp überwacht wird. Um alle möglichen IDs herauszufinden, reicht es, eine Aufzeichnung der Antwort der App zu manipulieren und beliebige IDs mitzuschicken.

In jedem UDP-Paket können nach Angaben der Hacker 64 IDs gesendet werden. Das Backend antwortet dann mit einer Bestätigung, ob das jeweilige Gerät online ist oder nicht. Auf diesem Weg gelang es, insgesamt rund 3,4 Millionen IDs einzusammeln.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Alle Kameras können in einer Stunde durchprobiert werden 
  1. 1
  2. 2
  3.  


Aktuell auf der Startseite von Golem.de
Halo Infinite im Test
Master Chief gefangen zwischen Waffe und Welt

Eine doofe Nebenfigur, sinnlose offene Umgebungen: Vor allem das tolle Kampfsystem rettet die Kampagne von Halo Infinite.
Ein Test von Peter Steinlechner

Halo Infinite im Test: Master Chief gefangen zwischen Waffe und Welt
Artikel
  1. Amazon: Alexa wacht über Waschmaschinen und laufenden Wasserhahn
    Amazon
    Alexa wacht über Waschmaschinen und laufenden Wasserhahn

    Alexa kann hierzulande eine Waschmaschine oder einen Wasserhahn belauschen und Bescheid geben, wenn etwa die Wäsche fertig ist.

  2. Kanadische Polizei: Diebe nutzen Apples Airtags zum Tracking von Luxuswagen
    Kanadische Polizei
    Diebe nutzen Apples Airtags zum Tracking von Luxuswagen

    Autodiebe in Kanada nutzen offenbar Apples Airtags, um Fahrzeuge heimlich zu orten.

  3. Resident Evil (1996): Grauenhaft gut
    Resident Evil (1996)
    Grauenhaft gut

    Resident Evil zeigte vor 25 Jahren, wie Horror im Videospiel auszusehen hat. Wir schauen uns den Klassiker im Golem retro_ an.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Saturn-Advent: Samsung Portable SSD T5 1 TB 84€ • ViewSonic VX2718-2KPC-MHD (WQHD, 165 Hz) 229€ • EPOS Sennheiser GSP 670 199€ • EK Water Blocks Elite Aurum 360 D-RGB All in One 205,89€ • KFA2 Geforce RTX 3070 OC 8 GB 1.019€ • Alternate (u. a. AKRacing Core SX 269,98€) [Werbung]
    •  /