Geklaute MAC-Herstellerkennung

Bemerkenswert am Vorgehen von Xiongmai findet SEC Consult zudem, dass das Unternehmen bei der Zuweisung der MAC-Adressen Geld gespart hat. Anstatt sich bei der IEEE eine eigene Herstellerkennung zu kaufen, habe Xiongmai einfach die OUIs anderer Firmen genommen. Dazu zählten die deutschen Firmen Protechna Herbst GmbH und Koenig & Bauer AG sowie die Schweizer Metrohm AG. Auch der Netzwerkausrüster Cisco gehörte dazu.

Stellenmarkt
  1. Projektleiter*in Digitalisierung
    Universitätsstadt MARBURG, Marburg
  2. Operations Manager (m/w/d)
    Gunnar Kühne Executive Search GmbH, Frankfurt am Main
Detailsuche

Als Angriffsszenarien beschreiben die Experten den "Spanner", der sich in die Videoüberwachung einklinke, den "zielgerichteten Angreifer", der über das IoT-Gerät Zugang zu einem Firmennetzwerk suche, und den "Botnet-Sammler", der infizierte Geräte für ein Botnetz wie im Falle von Mirai einsetzen wolle.

Hersteller oft schwer zu bestimmen

Abschließend warnen die Experten generell vor dem Einsatz von Xiongmai-Geräten. "Zwar ist es grundsätzlich gut, Standardpasswörter zu ändern, jedoch in diesem Fall nicht ausreichend, um alle vorhandenen Schwachstellen zu umgehen und den Einsatz der Produkte sicher zu machen", heißt es. Obwohl das Unternehmen bereits im März 2018 kontaktiert worden sei, habe es keine der aufgezeigten Schwachstellen bislang behoben. In der teilweise veröffentlichten Kommunikation behauptete Xiongmai unter anderem, dass SEC Consult Geräte mit veralteter Firmware getestet habe, was die Forscher bestreiten.

Um herauszufinden, ob Nutzer ein Xiongmai-Produkt unter einem der mehr als 100 Markennamen verwenden, haben die Experten einige Tipps gegeben. Dazu zähle beispielsweise, in der Produktbeschreibung auf das Feature XMEye zu achten. Auch ein Vergleich mit dem Login-Bildschirm könne Aufschluss geben. Dem Sicherheitsforscher Krebs zufolge haben nicht einmal die Hälfte der Firmen eine eigene Webseite, sondern vertreiben ihre Produkte direkt über Internet-Marktplätze wie Amazon oder Handelsketten wie Homedepot oder Walmart.

Xiongmai gelobt Besserung

Golem Akademie
  1. Jira für Anwender: virtueller Ein-Tages-Workshop
    10. November 2021, virtuell
  2. Linux-Shellprogrammierung: virtueller Vier-Tage-Workshop
    8.–11. März 2021, Virtuell
Weitere IT-Trainings

Krebs begrüßte auf seinem Blog das "Naming and Shaming der Internetverschmutzer" wie Xiongmai. Während von Mirai betroffene Firmen wie Huawei und Dahua inzwischen ihre Produkte verbessert hätten, würde Xiongmai weiterhin die Warnungen von Sicherheitsexperten ignorieren. Krebs verwies dabei auf weitere Sicherheitsprobleme, die vom US-Unternehmen Flashpoint entdeckt worden seien. Auch diese seien nicht behoben worden.

Laut Krebs sicherte Xiongmai nun zu, eine kryptographische Methode für die Vergabe der Nutzer-ID zu verwenden, die nicht mehr auf der MAC-Adresse basiere. Auch sollen die Nutzer nun aufgefordert werden, den Standardnutzernamen und das Passwort zu ändern. Der "default"-Zugang sei mit einem Firmware-Update vom August 2018 entfernt worden. Zudem widerspreche Xiongmai der Behauptung von SEC Consult, wonach der Datentransfer nicht verschlüsselt sei. Krebs bleibt jedoch skeptisch, ob das Unternehmen seine Versprechen tatsächlich umsetze. Das sei in der Vergangenheit schon häufiger nicht der Fall gewesen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Xiongmai: Millionen IoT-Kameras immer noch angreifbar im Netz
  1.  
  2. 1
  3. 2


Aktuell auf der Startseite von Golem.de
Bald exklusiv bei Disney+
Serien verschwinden aus Abos von Netflix und Prime Video

Acht Serienklassiker gibt es bald nur noch exklusiv bei Disney+ im Abo. Dazu gehören Futurama, Family Guy und 24.
Von Ingo Pakalski

Bald exklusiv bei Disney+: Serien verschwinden aus Abos von Netflix und Prime Video
Artikel
  1. Chorus im Test: Action im All plus galaktische Grafik
    Chorus im Test
    Action im All plus galaktische Grafik

    Schicke Grafik und ein sprechendes Raumschiff: Chorus von Deep Silver entpuppt sich beim Test als düsteres und spannendes Weltraumspiel.
    Von Peter Steinlechner

  2. Mobilfunkexperte: Afghanischer Ex-Minister hat nach Lieferando einen neuen Job
    Mobilfunkexperte
    Afghanischer Ex-Minister hat nach Lieferando einen neuen Job

    Der frühere afghanische Kommunikationsminister Syed Sadaat arbeitet nicht mehr bei Lieferando in Leipzig. Nun wird er Partner bei einem Maskenhersteller.

  3. Edge-Browser: Microsoft will Installation von Chrome verhindern
    Edge-Browser
    Microsoft will Installation von Chrome verhindern

    Microsoft intensiviert sein Vorgehen gegen andere Browser: Vor der Installation von Chrome wird Edge übertrieben gelobt.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Saturn-Advent: Toshiba Canvio 6TB 88€ • KFA2 Geforce RTX 3070 OC 8GB 1.019€ • Netgear günstiger (u. a. 5-Port-Switch 16,89€) • Norton 360 Deluxe 2022 18,99€ • Gaming-Monitore zu Bestpreisen (u. a. Samsung G3 27" FHD 144Hz 219€) • Spiele günstiger (u. a. Hades PS5 15,99€) [Werbung]
    •  /