Abo
  • Services:

Xiongmai: Millionen IoT-Kameras immer noch angreifbar im Netz

Noch immer sind viele vernetzte Geräte leicht über das Internet zu hacken. Vor allem ein chinesischer Massenhersteller missachtet weiterhin die einfachsten Grundregeln zum sicheren Betrieb der Geräte. Nun gelobt er Besserung.

Artikel veröffentlicht am ,
Von Xiongmai unter dem Label Tmezon verkaufte Überwachungskameras
Von Xiongmai unter dem Label Tmezon verkaufte Überwachungskameras (Bild: Tmezon)

In den Überwachungskameras des chinesischen Herstellers Xiongmai haben Experten schwere Sicherheitslücken entdeckt. Millionen Geräte ließen sich möglicherweise über die automatisch aktivierte Cloud-Funktion per Internet hacken, berichtete das österreichische Sicherheitsunternehmen SEC Consult. Auch digitale Videorekorder (DVR) und Netzwerk-Videorekorder (NVR) seien angreifbar. Die von Xiongmai produzierten Geräte werden demnach unter mehr als 100 anderen Markennamen (PDF) weltweit verkauft.

Inhalt:
  1. Xiongmai: Millionen IoT-Kameras immer noch angreifbar im Netz
  2. Geklaute MAC-Herstellerkennung

Spätestens seit den Angriffen des Mirai-Botnetzes im Herbst 2016 sind Gefahren durch unsichere, vernetzte Geräte bekannt. Schon damals hatte der Sicherheitsforscher und Journalist Brian Krebs, der zuvor ebenfalls per DDoS angegriffen worden war, auf Schwachstellen in der Software der Geräte hingewiesen.

Zugangs-ID von MAC-Adresse abgeleitet

Nach Angaben von SEC Consult beseitigte Xiongmai zwar solche Lücken, die für den Aufbau des Mirai-Botnetzes genutzt wurden. Problematisch sei jedoch weiterhin, dass die Xiongmai-Geräte standardmäßig über einen firmeneigenen Cloud-Dienst (XMEye P2P Cloud) vom Nutzer weltweit über das Internet abgerufen werden können. Über ein Reverse-Engineering der Firmware gelang es den Forschern in diesem Fall, die Zugangsdaten der Geräte zu bestimmen. So werde die Cloud-ID von der MAC-Adresse des Gerätes abgeleitet. Xiongmai verwendet dabei verschiedene Herstellerkennungen (OUI - Organizationally Unique Identifier), die Teil der MAC-Adresse sind.

Auf Basis des proprietären Übertragungsprotokolls zwischen Gerät und Cloud, das die Forscher per Reverse Engineering analysierten, entwickelten sie einen Scanner, der die Xiongmai-Server nach gültigen Cloud-IDs durchsuchte. Mit dem Scanner wurden zwei Prozent der Geräte für jeden OUI-Bereich durchsucht. Eine Hochrechnung habe ergeben, dass von den insgesamt 16 Millionen Geräten "zu diesem Zeitpunkt mindestens 9 Millionen Geräte in den angegebenen OUI-Bereichen online waren". Dabei ließ sich auch feststellen, welcher geografischen IP-Adresse das jeweilige Gerät zugeordnet ist. Geschätzte 1.319.000 Geräte wurden dabei einem Cloud-Hop-Server in Deutschland zugeordnet, wobei dieser jedoch Geräte aus ganz Europa abdecken dürfte.

Standardpasswort für Admin ist leer

Stellenmarkt
  1. Medizinischer Dienst der Krankenversicherung in Bayern, München
  2. Hochschule Fulda, Fulda

Ein weiteres Problem: Das Standardpasswort des Administrators (Benutzername "admin") ist leer. Bei Inbetriebnahme sei nicht erforderlich, ein Passwort zu wählen. Daher sei es wahrscheinlich, dass eine große Anzahl von Geräten weiterhin über diese Standarddaten erreichbar sei. Der Admin-Benutzer könne Videostreams anzeigen, die Gerätekonfiguration ändern und auch Firmware-Updates durchführen. Zudem gebe es einen undokumentierten Benutzer "default" mit dem Passwort "tluafed", also "default" rückwärts geschrieben. Auch dieser Nutzer könne sich über die Cloud bei einem Gerät anmelden und Videodaten anschauen. Diese würden außerdem unverschlüsselt übertragen.

Auch die Ausführung von Schadcode über ein Firmware-Update sei möglich, da die Updates nicht signiert seien. Ebenfalls könne dazu die "InstallDesc"-Textdatei im Firmware-Update modifiziert werden. Diese enthalte Kommandos, die während des Updates ausgeführt würden. Es sei sogar möglich, die veränderten Updates anschließend über die Cloud an andere Geräte weiterzuverbreiten. Dafür müsse sich ein Angreifer lediglich über einen Eintrag in den DNS-Einstellungen des Geräts als Cloud-Update Server mit dem Namen "upgrade.secu100.net" ausgeben.

Geklaute MAC-Herstellerkennung 
  1. 1
  2. 2
  3.  


Anzeige
Top-Angebote
  1. (heute u. a. JBL E50BT Over-ear Kopfhörer 49,00€ statt 149,00€)
  2. 159€
  3. (u. a. Samsung U28E590D für 240,19€ mit Gutschein: NBBSAMSUNGMONITOR und Acer KG271 für 205...

Folgen Sie uns
       


Lenovo Thinkpad T480s - Test

Wir halten das Thinkpad T480s für eines der besten Business-Notebooks am Markt: Der 14-Zöller ist kompakt und recht leicht und weist dennoch viele Anschlüsse auf, zudem sind Speicher, SSD, Wi-Fi und Modem aufrüstbar.

Lenovo Thinkpad T480s - Test Video aufrufen
Passwörter: Eine vernünftige Maßnahme gegen den IoT-Irrsinn
Passwörter
Eine vernünftige Maßnahme gegen den IoT-Irrsinn

Kalifornien verabschiedet ein Gesetz, das Standardpasswörter verbietet. Das ist ein Schritt in die richtige Richtung, denn es setzt beim größten Problem von IoT-Geräten an und ist leicht umsetzbar.
Ein IMHO von Hanno Böck

  1. Retrogaming Maximal unnötige Minis
  2. Streaming Heilloses Durcheinander bei Netflix und Amazon Prime
  3. Sicherheit Ein Lob für Twitter und Github

Shine 3: Neuer Tolino-Reader bringt mehr Lesekomfort
Shine 3
Neuer Tolino-Reader bringt mehr Lesekomfort

Die Tolino-Allianz bringt das Nachfolgemodell des Shine 2 HD auf den Markt. Das Shine 3 erhält mehr Ausstattungsdetails aus der E-Book-Reader-Oberklasse. Vor allem beim Lesen macht sich das positiv bemerkbar.
Ein Hands on von Ingo Pakalski

  1. E-Book-Reader Update macht Tolino-Geräte unbrauchbar

Life is Strange 2 im Test: Interaktiver Road-Movie-Mystery-Thriller
Life is Strange 2 im Test
Interaktiver Road-Movie-Mystery-Thriller

Keine heile Teenagerwelt mit Partys und Liebeskummer: Allein in den USA der Trump-Ära müssen zwei Brüder mit mexikanischen Wurzeln in Life is Strange 2 nach einem mysteriösen Unfall überleben. Das Adventure ist bewegend und spannend - trotz eines grundsätzlichen Problems.
Von Peter Steinlechner

  1. Adventure Leisure Suit Larry landet im 21. Jahrhundert

    •  /