Abo
  • Services:

Xiongmai: Millionen IoT-Kameras immer noch angreifbar im Netz

Noch immer sind viele vernetzte Geräte leicht über das Internet zu hacken. Vor allem ein chinesischer Massenhersteller missachtet weiterhin die einfachsten Grundregeln zum sicheren Betrieb der Geräte. Nun gelobt er Besserung.

Artikel veröffentlicht am ,
Von Xiongmai unter dem Label Tmezon verkaufte Überwachungskameras
Von Xiongmai unter dem Label Tmezon verkaufte Überwachungskameras (Bild: Tmezon)

In den Überwachungskameras des chinesischen Herstellers Xiongmai haben Experten schwere Sicherheitslücken entdeckt. Millionen Geräte ließen sich möglicherweise über die automatisch aktivierte Cloud-Funktion per Internet hacken, berichtete das österreichische Sicherheitsunternehmen SEC Consult. Auch digitale Videorekorder (DVR) und Netzwerk-Videorekorder (NVR) seien angreifbar. Die von Xiongmai produzierten Geräte werden demnach unter mehr als 100 anderen Markennamen (PDF) weltweit verkauft.

Inhalt:
  1. Xiongmai: Millionen IoT-Kameras immer noch angreifbar im Netz
  2. Geklaute MAC-Herstellerkennung

Spätestens seit den Angriffen des Mirai-Botnetzes im Herbst 2016 sind Gefahren durch unsichere, vernetzte Geräte bekannt. Schon damals hatte der Sicherheitsforscher und Journalist Brian Krebs, der zuvor ebenfalls per DDoS angegriffen worden war, auf Schwachstellen in der Software der Geräte hingewiesen.

Zugangs-ID von MAC-Adresse abgeleitet

Nach Angaben von SEC Consult beseitigte Xiongmai zwar solche Lücken, die für den Aufbau des Mirai-Botnetzes genutzt wurden. Problematisch sei jedoch weiterhin, dass die Xiongmai-Geräte standardmäßig über einen firmeneigenen Cloud-Dienst (XMEye P2P Cloud) vom Nutzer weltweit über das Internet abgerufen werden können. Über ein Reverse-Engineering der Firmware gelang es den Forschern in diesem Fall, die Zugangsdaten der Geräte zu bestimmen. So werde die Cloud-ID von der MAC-Adresse des Gerätes abgeleitet. Xiongmai verwendet dabei verschiedene Herstellerkennungen (OUI - Organizationally Unique Identifier), die Teil der MAC-Adresse sind.

Auf Basis des proprietären Übertragungsprotokolls zwischen Gerät und Cloud, das die Forscher per Reverse Engineering analysierten, entwickelten sie einen Scanner, der die Xiongmai-Server nach gültigen Cloud-IDs durchsuchte. Mit dem Scanner wurden zwei Prozent der Geräte für jeden OUI-Bereich durchsucht. Eine Hochrechnung habe ergeben, dass von den insgesamt 16 Millionen Geräten "zu diesem Zeitpunkt mindestens 9 Millionen Geräte in den angegebenen OUI-Bereichen online waren". Dabei ließ sich auch feststellen, welcher geografischen IP-Adresse das jeweilige Gerät zugeordnet ist. Geschätzte 1.319.000 Geräte wurden dabei einem Cloud-Hop-Server in Deutschland zugeordnet, wobei dieser jedoch Geräte aus ganz Europa abdecken dürfte.

Standardpasswort für Admin ist leer

Stellenmarkt
  1. M-net Telekommunikations GmbH, München
  2. McService GmbH, München

Ein weiteres Problem: Das Standardpasswort des Administrators (Benutzername "admin") ist leer. Bei Inbetriebnahme sei nicht erforderlich, ein Passwort zu wählen. Daher sei es wahrscheinlich, dass eine große Anzahl von Geräten weiterhin über diese Standarddaten erreichbar sei. Der Admin-Benutzer könne Videostreams anzeigen, die Gerätekonfiguration ändern und auch Firmware-Updates durchführen. Zudem gebe es einen undokumentierten Benutzer "default" mit dem Passwort "tluafed", also "default" rückwärts geschrieben. Auch dieser Nutzer könne sich über die Cloud bei einem Gerät anmelden und Videodaten anschauen. Diese würden außerdem unverschlüsselt übertragen.

Auch die Ausführung von Schadcode über ein Firmware-Update sei möglich, da die Updates nicht signiert seien. Ebenfalls könne dazu die "InstallDesc"-Textdatei im Firmware-Update modifiziert werden. Diese enthalte Kommandos, die während des Updates ausgeführt würden. Es sei sogar möglich, die veränderten Updates anschließend über die Cloud an andere Geräte weiterzuverbreiten. Dafür müsse sich ein Angreifer lediglich über einen Eintrag in den DNS-Einstellungen des Geräts als Cloud-Update Server mit dem Namen "upgrade.secu100.net" ausgeben.

Geklaute MAC-Herstellerkennung 
  1. 1
  2. 2
  3.  


Anzeige
Blu-ray-Angebote
  1. (u. a. 3 Blu-rays für 15€, 2 Neuheiten für 15€)
  2. (u. a. Logan, John Wick, Alien Covenant, Planet der Affen Survival)

Folgen Sie uns
       


Intel NUC7 June Canyon - Test

Wir mögen Intels NUC7: Er hat volle PC-Funktionalität in kleinem Formfaktor zu einem niedrigen Preis.

Intel NUC7 June Canyon - Test Video aufrufen
Apple Mac Mini (Late 2018) im Test: Tolles teures Teil - aber für wen?
Apple Mac Mini (Late 2018) im Test
Tolles teures Teil - aber für wen?

Der Mac Mini ist ein gutes Gerät, wenngleich der Preis für die Einstiegsvariante von Apple arg hoch angesetzt wurde und mehr Speicher(platz) viel Geld kostet. Für 4K-Videoschnitt eignet sich der Mac Mini nur selten und generell fragen wir uns, wer ihn kaufen soll.
Ein Test von Marc Sauter

  1. Apple Mac Mini wird grau und schnell
  2. Neue Produkte Apple will Mac Mini und Macbook Air neu auflegen

Machine Learning: Wie Technik jede Stimme stehlen kann
Machine Learning
Wie Technik jede Stimme stehlen kann

Ein Unternehmen aus Südkorea arbeitet daran, Stimmen reproduzierbar und neu generierbar zu machen. Was für viele Branchen enorme Kosteneinsparungen bedeutet, könnte auch eine neue Dimension von Fake News werden.
Ein Bericht von Felix Lill

  1. AWS Amazon bietet seine Machine-Learning-Tutorials kostenlos an
  2. Random Forest, k-Means, Genetik Machine Learning anhand von drei Algorithmen erklärt
  3. Machine Learning Amazon verwirft sexistisches KI-Tool für Bewerber

IMHO: Valves Ka-Ching mit der Brechstange
IMHO
Valves "Ka-Ching" mit der Brechstange

Es klingelt seit Jahren in den Kassen des Unternehmens von Gabe Newell. Dabei ist die Firma tief verschuldet - und zwar in den Herzen der Gamer.
Ein IMHO von Michael Wieczorek

  1. Artifact im Test Zusammengewürfelt und potenziell teuer
  2. Artifact Erste Kritik an Kosten von Valves Sammelkartenspiel
  3. Virtual Reality Valve arbeitet an VR-Headset und Half-Life-Titel

    •  /