Geklaute MAC-Herstellerkennung

Bemerkenswert am Vorgehen von Xiongmai findet SEC Consult zudem, dass das Unternehmen bei der Zuweisung der MAC-Adressen Geld gespart hat. Anstatt sich bei der IEEE eine eigene Herstellerkennung zu kaufen, habe Xiongmai einfach die OUIs anderer Firmen genommen. Dazu zählten die deutschen Firmen Protechna Herbst GmbH und Koenig & Bauer AG sowie die Schweizer Metrohm AG. Auch der Netzwerkausrüster Cisco gehörte dazu.

Stellenmarkt
  1. (Junior) IT Business Consultant Transportmanagementsysteme Übersee (Inbound) (m/w/d)
    Schwarz IT KG, Neckarsulm
  2. Senior Network Security Architect (m/w/d)
    Deichmann SE, Essen
Detailsuche

Als Angriffsszenarien beschreiben die Experten den "Spanner", der sich in die Videoüberwachung einklinke, den "zielgerichteten Angreifer", der über das IoT-Gerät Zugang zu einem Firmennetzwerk suche, und den "Botnet-Sammler", der infizierte Geräte für ein Botnetz wie im Falle von Mirai einsetzen wolle.

Hersteller oft schwer zu bestimmen

Abschließend warnen die Experten generell vor dem Einsatz von Xiongmai-Geräten. "Zwar ist es grundsätzlich gut, Standardpasswörter zu ändern, jedoch in diesem Fall nicht ausreichend, um alle vorhandenen Schwachstellen zu umgehen und den Einsatz der Produkte sicher zu machen", heißt es. Obwohl das Unternehmen bereits im März 2018 kontaktiert worden sei, habe es keine der aufgezeigten Schwachstellen bislang behoben. In der teilweise veröffentlichten Kommunikation behauptete Xiongmai unter anderem, dass SEC Consult Geräte mit veralteter Firmware getestet habe, was die Forscher bestreiten.

Um herauszufinden, ob Nutzer ein Xiongmai-Produkt unter einem der mehr als 100 Markennamen verwenden, haben die Experten einige Tipps gegeben. Dazu zähle beispielsweise, in der Produktbeschreibung auf das Feature XMEye zu achten. Auch ein Vergleich mit dem Login-Bildschirm könne Aufschluss geben. Dem Sicherheitsforscher Krebs zufolge haben nicht einmal die Hälfte der Firmen eine eigene Webseite, sondern vertreiben ihre Produkte direkt über Internet-Marktplätze wie Amazon oder Handelsketten wie Homedepot oder Walmart.

Xiongmai gelobt Besserung

Golem Karrierewelt
  1. Kubernetes – das Container Orchestration Framework: virtueller Vier-Tage-Workshop
    20.-23.02.2023, Virtuell
  2. C++ Programmierung Basics: virtueller Fünf-Tage-Workshop
    09.-13.01.2023, virtuell
Weitere IT-Trainings

Krebs begrüßte auf seinem Blog das "Naming and Shaming der Internetverschmutzer" wie Xiongmai. Während von Mirai betroffene Firmen wie Huawei und Dahua inzwischen ihre Produkte verbessert hätten, würde Xiongmai weiterhin die Warnungen von Sicherheitsexperten ignorieren. Krebs verwies dabei auf weitere Sicherheitsprobleme, die vom US-Unternehmen Flashpoint entdeckt worden seien. Auch diese seien nicht behoben worden.

Laut Krebs sicherte Xiongmai nun zu, eine kryptographische Methode für die Vergabe der Nutzer-ID zu verwenden, die nicht mehr auf der MAC-Adresse basiere. Auch sollen die Nutzer nun aufgefordert werden, den Standardnutzernamen und das Passwort zu ändern. Der "default"-Zugang sei mit einem Firmware-Update vom August 2018 entfernt worden. Zudem widerspreche Xiongmai der Behauptung von SEC Consult, wonach der Datentransfer nicht verschlüsselt sei. Krebs bleibt jedoch skeptisch, ob das Unternehmen seine Versprechen tatsächlich umsetze. Das sei in der Vergangenheit schon häufiger nicht der Fall gewesen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Xiongmai: Millionen IoT-Kameras immer noch angreifbar im Netz
  1.  
  2. 1
  3. 2


Aktuell auf der Startseite von Golem.de
Metaverse
EU blamiert sich mit interaktiver Onlineparty

Rund 387.000 Euro an Kosten, fünf Besucher auf der Onlineparty: Ein EU-Projekt wollte junge Menschen als Büroklammer tanzen lassen.

Metaverse: EU blamiert sich mit interaktiver Onlineparty
Artikel
  1. Elektromobilität: Hyundai zeigt Elektrosportwagen Ioniq 5 N
    Elektromobilität
    Hyundai zeigt Elektrosportwagen Ioniq 5 N

    Hyundai hat erstmals ein Video mit dem Ioniq 5 N veröffentlicht. Das besonders sportliche Fahrzeug soll die N-Marke beleben.

  2. High Purity in der Produktion: Unter Druck reinigen
    High Purity in der Produktion
    Unter Druck reinigen

    Ob Autos, Elektronik, Medizin oder Halbleiter: Die Reinhaltung bis in den Nanobereich wird immer wichtiger. Das stellt hohe Anforderung an Monitoring und Prozesslenkung.
    Ein Bericht von Detlev Prutz

  3. Patches: Anti-Ruckel-Updates für Pokémon und Callisto zeigen Wirkung
    Patches
    Anti-Ruckel-Updates für Pokémon und Callisto zeigen Wirkung

    Warum nicht gleich so? Für die von Bugs geplagten Computerspiele Pokémon Karmesin/Purpur und The Callisto Protocol gibt es Updates.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • PS5-Bundle vorbestellbar • Amazon-Geräte bis -53% • Mindstar: AMD-Ryzen-CPUs zu Bestpreisen • Alternate: Kingston FURY Beast RGB 32GB DDR5-4800 146,89€ • Advent-Tagesdeals bei MediaMarkt/Saturn: u. a. SanDisk Ultra microSDXC 512GB 39€ • Thrustmaster Ferrari GTE Wheel 87,60€ [Werbung]
    •  /