"Paparazzi over IP": Sicherheitslücken in Kameras mit Netzwerkfunktionen
Fotografen können die Netzwerkfunktionen in aktuellen Kameras nutzen, um ihre Arbeit schneller zu verrichten: Fotos werden direkt auf den FTP-Server ihres Auftraggebers übertragen oder die Kamera lässt sich über das Netz fernsteuern. Die Netzwerkkommunikation lässt sich aber auch leicht überwachen. Dabei können Hacker die Fotos nicht nur abgreifen, sondern auch stattdessen ihre eigenen übertragen. Mühelos lässt sich die Videofunktion aber auch für eine Liveübertragung nutzen und die Kamera so in ein Überwachungsgerät verwandeln.
Noch fehle der Ton im Live-Betrieb, aber der lasse sich sicherlich ebenfalls aktivieren, sagen die beiden Experten Daniel Mende und Pascal Turbing von der Sicherheitsfirma ERNW(öffnet im neuen Fenster) . Dass sie die Kamera übernehmen und dann Videos mit Ton aufzeichnen können, sei bislang nur ein "Workaround". Demonstriert haben sie ihren Hack " Paparazzi over IP(öffnet im neuen Fenster) " auf der Sicherheitskonferenz Troopers13.
Viele Funktionen, kaum Sicherheit
Am Beispiel der DSLR EOS-1D X zeigen die beiden Experten, wie wenig Kamerahersteller in die Sicherheit ihrer Geräte investiert haben. Die Kamera lässt sich über eine Ethernet-Buchse, aber auch über WLAN im Netzwerk verbinden. Bilder können automatisch über FTP oder DLNA verteilt werden. Außerdem ist ein kleiner Webserver in der Software der Kamera, der zur Konfiguration oder Fernsteuerung verwendet werden kann. Während FTP und DLNA per se schon unsicher sind, hat Canon den Webserver und den entfernten Zugriff von Rechnern ebenfalls nur minimal abgesichert.
Als "langweilig" bezeichnen die beiden Sicherheitsforscher die möglichen DDoS-Angriffe auf die Kamera: Mit lediglich 100 ARP-Paketen pro Sekunden kann sie lahmgelegt werden. Dass Fotos über unverschlüsseltes FTP übertragen werden, sei ein nicht neuer, aber sicherlich interessanter Angriffsvektor. Canons DSLR EOS-1D X erlaubt es, aufgenommene Fotos sofort auf einen FTP-Server zu übertragen. Mit einfachen Mitteln kann sich ein Angreifer einklinken, die Fotos abgreifen oder möglicherweise durch manipulierte ersetzen. Über DLNA können ebenfalls auf sämtliche Fotos und Videos auf der Kamera zugegriffen werden – ohne Authentifizierung.
Zugriff auf den integrierten Webserver
"Nutzen Sie einen Webbrowser um Bilder zu machen, anzusehen oder Fotos herunterzuladen." So bewirbt Canon eine weitere Funktion, die in die Kamerasoftware integriert wurde. Es handele sich dabei um einen kleinen Webserver, der eine Ajax-basierte Benutzeroberfläche bereitstellt, berichten Mende und Turbing. Auch hier habe Canon auf das sichere HTTPS-Protokoll verzichtet. Die Authentifizierung erfolge zudem über HTTP Basic statt dem etwas sichereren Digest, so dass ein Angreifer die Zugangsdaten oder die Session-ID in einem unsicheren Netz auslesen könnte. Die Authentifizierung erfolge nur einmalig. Dabei werde eine Session-ID vergeben. Diese Session-ID bestehe aus nur vier Bytes. Sie lasse sich in wenigen Minuten per Brute-Force ermitteln. Damit habe ein erfolgreicher Angreifer Zugriff auf die auf der Kamera gespeicherten Fotos und die Kameraeinstellungen. Außerdem habe der Angreifer auch Zugang zu den über den Sucher übertragenen Live-Bilder. Somit lasse sich die Canon EOS-1D X als Überwachungsgerät nutzen.
Pwned per PTP/IP
Für das Übertragen von Bildern zum Rechner nutzt die Canon EOS-1D X auch PTP/IP (Picture Transfer Protokoll over IP), das der Kamerahersteller um eigene Funktionen für die Kamerasteuerung erweitert hat. Die Erweiterungen geben dem Anwender einen fast vollständigen Zugriff auf sämtliche Kamerafunktionen, sie lässt sich damit weitgehend über die Canon-Software EOS-Utility von einem Rechner aus fernsteuern.
Über den in PTP/IP verwendeten Befehl PTPIP_INIT_COMMAND_REQUEST wird zur Authentifizierung eine GUID von 16 Byte und die Zeichenkette mit dem Hostname zwischen Rechner und Kamera ausgetauscht. Der Hostname spiele dabei keine Rolle, er werde bei der Verbindung nicht überprüft, berichten Mende und Turbing. Der Zugriff über PTP/IP muss auf der Kamera zuvor aktiviert werden. Das dabei ausgelöste Pairing erfolgt über MDNS (Multicast DNS) und das Simple Service Discovery Protocol (SSDP).
Fast Root
Die benötigte GUID besteht aus der ID-Nummer der Kamera, der Client Software ist sie unbekannt. Es genügt also, MDNS abzugreifen und den entsprechenden String auszulesen. Anschließend kann eine bestehende Verbindung zur Kamera mit einem TCP-Reset-Angriff gekappt und eine eigene aufgebaut werden. Damit habe ein Angreifer fast einen Root-Zugriff auf die Kamera, so Mende und Turbing, auch ohne gleich die Firmware zu ersetzen.
Es ist unverständlich, warum Canon in seine neuen Kameras viele neue Funktionen eingebaut, aber dabei auf aktuelle Sicherheitsstandards verzichtet hat. Fotografen, die vergessen, eine der Funktionen auszuschalten, geben den gesamten Inhalt ihrer Kamera preis. Letztendlich befinden sich professionelle Fotografen oft in einem Umfeld mit unsicheren Netzwerkverbindungen, sei es auf einer Pressekonferenz oder im Hotelzimmer.
Mehr Funktionen, mehr Sicherheit
Als Rat für Fotografen geben Mende und Turbing mit, die Netzwerkfunktionen möglichst nur in sicheren Netzwerkumgebungen zu verwenden, WLAN-Verbindungen mit WPA abzusichern und möglichst sichere Passwörter zu verwenden. Hersteller sollten hingegen erwägen, mehr auf die Sicherheit für ihre Geräte zu achten.
Sie freuten sich sicher schon auf die EOS 6D mit integriertem Accesspoint und zusätzlichen Protokollen für iOS und Android. Da gebe es bestimmt noch mehr zu hacken.