• IT-Karriere:
  • Services:

Geklaute MAC-Herstellerkennung

Bemerkenswert am Vorgehen von Xiongmai findet SEC Consult zudem, dass das Unternehmen bei der Zuweisung der MAC-Adressen Geld gespart hat. Anstatt sich bei der IEEE eine eigene Herstellerkennung zu kaufen, habe Xiongmai einfach die OUIs anderer Firmen genommen. Dazu zählten die deutschen Firmen Protechna Herbst GmbH und Koenig & Bauer AG sowie die Schweizer Metrohm AG. Auch der Netzwerkausrüster Cisco gehörte dazu.

Stellenmarkt
  1. MRH Trowe, Frankfurt am Main, München, Düsseldorf, Alsfeld
  2. Ostbayerische Technische Hochschule Amberg-Weiden (OTH), Amberg

Als Angriffsszenarien beschreiben die Experten den "Spanner", der sich in die Videoüberwachung einklinke, den "zielgerichteten Angreifer", der über das IoT-Gerät Zugang zu einem Firmennetzwerk suche, und den "Botnet-Sammler", der infizierte Geräte für ein Botnetz wie im Falle von Mirai einsetzen wolle.

Hersteller oft schwer zu bestimmen

Abschließend warnen die Experten generell vor dem Einsatz von Xiongmai-Geräten. "Zwar ist es grundsätzlich gut, Standardpasswörter zu ändern, jedoch in diesem Fall nicht ausreichend, um alle vorhandenen Schwachstellen zu umgehen und den Einsatz der Produkte sicher zu machen", heißt es. Obwohl das Unternehmen bereits im März 2018 kontaktiert worden sei, habe es keine der aufgezeigten Schwachstellen bislang behoben. In der teilweise veröffentlichten Kommunikation behauptete Xiongmai unter anderem, dass SEC Consult Geräte mit veralteter Firmware getestet habe, was die Forscher bestreiten.

Um herauszufinden, ob Nutzer ein Xiongmai-Produkt unter einem der mehr als 100 Markennamen verwenden, haben die Experten einige Tipps gegeben. Dazu zähle beispielsweise, in der Produktbeschreibung auf das Feature XMEye zu achten. Auch ein Vergleich mit dem Login-Bildschirm könne Aufschluss geben. Dem Sicherheitsforscher Krebs zufolge haben nicht einmal die Hälfte der Firmen eine eigene Webseite, sondern vertreiben ihre Produkte direkt über Internet-Marktplätze wie Amazon oder Handelsketten wie Homedepot oder Walmart.

Xiongmai gelobt Besserung

Krebs begrüßte auf seinem Blog das "Naming and Shaming der Internetverschmutzer" wie Xiongmai. Während von Mirai betroffene Firmen wie Huawei und Dahua inzwischen ihre Produkte verbessert hätten, würde Xiongmai weiterhin die Warnungen von Sicherheitsexperten ignorieren. Krebs verwies dabei auf weitere Sicherheitsprobleme, die vom US-Unternehmen Flashpoint entdeckt worden seien. Auch diese seien nicht behoben worden.

Laut Krebs sicherte Xiongmai nun zu, eine kryptographische Methode für die Vergabe der Nutzer-ID zu verwenden, die nicht mehr auf der MAC-Adresse basiere. Auch sollen die Nutzer nun aufgefordert werden, den Standardnutzernamen und das Passwort zu ändern. Der "default"-Zugang sei mit einem Firmware-Update vom August 2018 entfernt worden. Zudem widerspreche Xiongmai der Behauptung von SEC Consult, wonach der Datentransfer nicht verschlüsselt sei. Krebs bleibt jedoch skeptisch, ob das Unternehmen seine Versprechen tatsächlich umsetze. Das sei in der Vergangenheit schon häufiger nicht der Fall gewesen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Xiongmai: Millionen IoT-Kameras immer noch angreifbar im Netz
  1.  
  2. 1
  3. 2


Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)

Folgen Sie uns
       


    •  /