Abo
  • IT-Karriere:

Xiongmai: Millionen IoT-Kameras immer noch angreifbar im Netz

Noch immer sind viele vernetzte Geräte leicht über das Internet zu hacken. Vor allem ein chinesischer Massenhersteller missachtet weiterhin die einfachsten Grundregeln zum sicheren Betrieb der Geräte. Nun gelobt er Besserung.

Artikel veröffentlicht am ,
Von Xiongmai unter dem Label Tmezon verkaufte Überwachungskameras
Von Xiongmai unter dem Label Tmezon verkaufte Überwachungskameras (Bild: Tmezon)

In den Überwachungskameras des chinesischen Herstellers Xiongmai haben Experten schwere Sicherheitslücken entdeckt. Millionen Geräte ließen sich möglicherweise über die automatisch aktivierte Cloud-Funktion per Internet hacken, berichtete das österreichische Sicherheitsunternehmen SEC Consult. Auch digitale Videorekorder (DVR) und Netzwerk-Videorekorder (NVR) seien angreifbar. Die von Xiongmai produzierten Geräte werden demnach unter mehr als 100 anderen Markennamen (PDF) weltweit verkauft.

Inhalt:
  1. Xiongmai: Millionen IoT-Kameras immer noch angreifbar im Netz
  2. Geklaute MAC-Herstellerkennung

Spätestens seit den Angriffen des Mirai-Botnetzes im Herbst 2016 sind Gefahren durch unsichere, vernetzte Geräte bekannt. Schon damals hatte der Sicherheitsforscher und Journalist Brian Krebs, der zuvor ebenfalls per DDoS angegriffen worden war, auf Schwachstellen in der Software der Geräte hingewiesen.

Zugangs-ID von MAC-Adresse abgeleitet

Nach Angaben von SEC Consult beseitigte Xiongmai zwar solche Lücken, die für den Aufbau des Mirai-Botnetzes genutzt wurden. Problematisch sei jedoch weiterhin, dass die Xiongmai-Geräte standardmäßig über einen firmeneigenen Cloud-Dienst (XMEye P2P Cloud) vom Nutzer weltweit über das Internet abgerufen werden können. Über ein Reverse-Engineering der Firmware gelang es den Forschern in diesem Fall, die Zugangsdaten der Geräte zu bestimmen. So werde die Cloud-ID von der MAC-Adresse des Gerätes abgeleitet. Xiongmai verwendet dabei verschiedene Herstellerkennungen (OUI - Organizationally Unique Identifier), die Teil der MAC-Adresse sind.

Auf Basis des proprietären Übertragungsprotokolls zwischen Gerät und Cloud, das die Forscher per Reverse Engineering analysierten, entwickelten sie einen Scanner, der die Xiongmai-Server nach gültigen Cloud-IDs durchsuchte. Mit dem Scanner wurden zwei Prozent der Geräte für jeden OUI-Bereich durchsucht. Eine Hochrechnung habe ergeben, dass von den insgesamt 16 Millionen Geräten "zu diesem Zeitpunkt mindestens 9 Millionen Geräte in den angegebenen OUI-Bereichen online waren". Dabei ließ sich auch feststellen, welcher geografischen IP-Adresse das jeweilige Gerät zugeordnet ist. Geschätzte 1.319.000 Geräte wurden dabei einem Cloud-Hop-Server in Deutschland zugeordnet, wobei dieser jedoch Geräte aus ganz Europa abdecken dürfte.

Standardpasswort für Admin ist leer

Stellenmarkt
  1. Hasso-Plattner-Institut für Digital Engineering gGmbH, Potsdam
  2. RSG Group GmbH, Berlin

Ein weiteres Problem: Das Standardpasswort des Administrators (Benutzername "admin") ist leer. Bei Inbetriebnahme sei nicht erforderlich, ein Passwort zu wählen. Daher sei es wahrscheinlich, dass eine große Anzahl von Geräten weiterhin über diese Standarddaten erreichbar sei. Der Admin-Benutzer könne Videostreams anzeigen, die Gerätekonfiguration ändern und auch Firmware-Updates durchführen. Zudem gebe es einen undokumentierten Benutzer "default" mit dem Passwort "tluafed", also "default" rückwärts geschrieben. Auch dieser Nutzer könne sich über die Cloud bei einem Gerät anmelden und Videodaten anschauen. Diese würden außerdem unverschlüsselt übertragen.

Auch die Ausführung von Schadcode über ein Firmware-Update sei möglich, da die Updates nicht signiert seien. Ebenfalls könne dazu die "InstallDesc"-Textdatei im Firmware-Update modifiziert werden. Diese enthalte Kommandos, die während des Updates ausgeführt würden. Es sei sogar möglich, die veränderten Updates anschließend über die Cloud an andere Geräte weiterzuverbreiten. Dafür müsse sich ein Angreifer lediglich über einen Eintrag in den DNS-Einstellungen des Geräts als Cloud-Update Server mit dem Namen "upgrade.secu100.net" ausgeben.

Geklaute MAC-Herstellerkennung 
  1. 1
  2. 2
  3.  


Anzeige
Spiele-Angebote
  1. 0,49€
  2. 59,99€ für PC/69,99€ für PS4, Xbox (Release am 4. Oktober)
  3. 37,49€

Folgen Sie uns
       


iPad Mini (2019) - Fazit

Nach vier Jahren hat Apple ein neues iPad Mini vorgestellt. Das neue Modell hat wieder einen 7,9 Zoll großen Bildschirm und unterstützt dieses Mal auch den Apple Pencil.

iPad Mini (2019) - Fazit Video aufrufen
Zulassung autonomer Autos: Der Mensch fährt besser als gedacht
Zulassung autonomer Autos
Der Mensch fährt besser als gedacht

Mehrere Jahre haben Wissenschaftler und Autokonzerne an Testverfahren für einen Autobahnpiloten geforscht. Die Ergebnisse sprechen für den umfangreichen Einsatz von Simulation. Und gegen den schnellen Einsatz der Technik.
Von Friedhelm Greis

  1. Ingolstadt Audi vernetzt Autos mit Ampeln
  2. Wasserkühlung erforderlich Leistungshunger von Auto-Rechnern soll stark steigen
  3. Waymo One Lyft vermittelt Waymos autonome Taxis

Das andere How-to: Deutsch lernen für Programmierer
Das andere How-to
Deutsch lernen für Programmierer

Programmierer schlagen sich ständig mit der Syntax und Semantik von Programmiersprachen herum. Der US-Amerikaner Mike Stipicevic hat aus der Not eine Tugend gemacht und nutzt sein Wissen über obskure Grammatiken, um Deutsch zu lernen.
Von Mike Stipicevic

  1. Programmiersprachen, Pakete, IDEs So steigen Entwickler in Machine Learning ein
  2. Software-Entwickler Welche Programmiersprache soll ich lernen?

Oneplus 7 Pro im Hands on: Neue Konkurrenz für die Smartphone-Oberklasse
Oneplus 7 Pro im Hands on
Neue Konkurrenz für die Smartphone-Oberklasse

Parallel zum Oneplus 7 hat das chinesische Unternehmen Oneplus auch das besser ausgestattete Oneplus 7 Pro vorgestellt. Das Smartphone ist mit seiner Kamera mit drei Objektiven für alle Fotosituationen gewappnet und hat eine ausfahrbare Frontkamera - das hat aber seinen Preis.
Ein Hands on von Ingo Pakalski

  1. Oneplus 7 Der Nachfolger des Oneplus 6t kostet 560 Euro
  2. Android 9 Oneplus startet Pie-Beta für Oneplus 3 und 3T
  3. MWC 2019 Oneplus will Prototyp eines 5G-Smartphones zeigen

    •  /