• IT-Karriere:
  • Services:

Geklaute MAC-Herstellerkennung

Bemerkenswert am Vorgehen von Xiongmai findet SEC Consult zudem, dass das Unternehmen bei der Zuweisung der MAC-Adressen Geld gespart hat. Anstatt sich bei der IEEE eine eigene Herstellerkennung zu kaufen, habe Xiongmai einfach die OUIs anderer Firmen genommen. Dazu zählten die deutschen Firmen Protechna Herbst GmbH und Koenig & Bauer AG sowie die Schweizer Metrohm AG. Auch der Netzwerkausrüster Cisco gehörte dazu.

Stellenmarkt
  1. TenneT TSO GmbH, Bayreuth
  2. Salzgitter Mannesmann Handel GmbH, Düsseldorf, Mülheim an der Ruhr

Als Angriffsszenarien beschreiben die Experten den "Spanner", der sich in die Videoüberwachung einklinke, den "zielgerichteten Angreifer", der über das IoT-Gerät Zugang zu einem Firmennetzwerk suche, und den "Botnet-Sammler", der infizierte Geräte für ein Botnetz wie im Falle von Mirai einsetzen wolle.

Hersteller oft schwer zu bestimmen

Abschließend warnen die Experten generell vor dem Einsatz von Xiongmai-Geräten. "Zwar ist es grundsätzlich gut, Standardpasswörter zu ändern, jedoch in diesem Fall nicht ausreichend, um alle vorhandenen Schwachstellen zu umgehen und den Einsatz der Produkte sicher zu machen", heißt es. Obwohl das Unternehmen bereits im März 2018 kontaktiert worden sei, habe es keine der aufgezeigten Schwachstellen bislang behoben. In der teilweise veröffentlichten Kommunikation behauptete Xiongmai unter anderem, dass SEC Consult Geräte mit veralteter Firmware getestet habe, was die Forscher bestreiten.

Um herauszufinden, ob Nutzer ein Xiongmai-Produkt unter einem der mehr als 100 Markennamen verwenden, haben die Experten einige Tipps gegeben. Dazu zähle beispielsweise, in der Produktbeschreibung auf das Feature XMEye zu achten. Auch ein Vergleich mit dem Login-Bildschirm könne Aufschluss geben. Dem Sicherheitsforscher Krebs zufolge haben nicht einmal die Hälfte der Firmen eine eigene Webseite, sondern vertreiben ihre Produkte direkt über Internet-Marktplätze wie Amazon oder Handelsketten wie Homedepot oder Walmart.

Xiongmai gelobt Besserung

Golem Akademie
  1. Microsoft 365 Security Workshop
    9.-11. Juni 2021, Online
  2. IT-Sicherheit für Webentwickler
    31. Mai - 1. Juni 2021, online
Weitere IT-Trainings

Krebs begrüßte auf seinem Blog das "Naming and Shaming der Internetverschmutzer" wie Xiongmai. Während von Mirai betroffene Firmen wie Huawei und Dahua inzwischen ihre Produkte verbessert hätten, würde Xiongmai weiterhin die Warnungen von Sicherheitsexperten ignorieren. Krebs verwies dabei auf weitere Sicherheitsprobleme, die vom US-Unternehmen Flashpoint entdeckt worden seien. Auch diese seien nicht behoben worden.

Laut Krebs sicherte Xiongmai nun zu, eine kryptographische Methode für die Vergabe der Nutzer-ID zu verwenden, die nicht mehr auf der MAC-Adresse basiere. Auch sollen die Nutzer nun aufgefordert werden, den Standardnutzernamen und das Passwort zu ändern. Der "default"-Zugang sei mit einem Firmware-Update vom August 2018 entfernt worden. Zudem widerspreche Xiongmai der Behauptung von SEC Consult, wonach der Datentransfer nicht verschlüsselt sei. Krebs bleibt jedoch skeptisch, ob das Unternehmen seine Versprechen tatsächlich umsetze. Das sei in der Vergangenheit schon häufiger nicht der Fall gewesen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Xiongmai: Millionen IoT-Kameras immer noch angreifbar im Netz
  1.  
  2. 1
  3. 2


Anzeige
Hardware-Angebote

Folgen Sie uns
       


Mafia (2002) - Golem retro_

Wer in der Mafia hoch hinaus will, muss loyal sein - ansonsten verstößt ihn die Familie. In Golem retro_ haben wir das erneut selbst erlebt.

Mafia (2002) - Golem retro_ Video aufrufen
Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme

      •  /