Abo
  • IT-Karriere:

Xiongmai: Millionen IoT-Kameras immer noch angreifbar im Netz

Noch immer sind viele vernetzte Geräte leicht über das Internet zu hacken. Vor allem ein chinesischer Massenhersteller missachtet weiterhin die einfachsten Grundregeln zum sicheren Betrieb der Geräte. Nun gelobt er Besserung.

Artikel veröffentlicht am ,
Von Xiongmai unter dem Label Tmezon verkaufte Überwachungskameras
Von Xiongmai unter dem Label Tmezon verkaufte Überwachungskameras (Bild: Tmezon)

In den Überwachungskameras des chinesischen Herstellers Xiongmai haben Experten schwere Sicherheitslücken entdeckt. Millionen Geräte ließen sich möglicherweise über die automatisch aktivierte Cloud-Funktion per Internet hacken, berichtete das österreichische Sicherheitsunternehmen SEC Consult. Auch digitale Videorekorder (DVR) und Netzwerk-Videorekorder (NVR) seien angreifbar. Die von Xiongmai produzierten Geräte werden demnach unter mehr als 100 anderen Markennamen (PDF) weltweit verkauft.

Inhalt:
  1. Xiongmai: Millionen IoT-Kameras immer noch angreifbar im Netz
  2. Geklaute MAC-Herstellerkennung

Spätestens seit den Angriffen des Mirai-Botnetzes im Herbst 2016 sind Gefahren durch unsichere, vernetzte Geräte bekannt. Schon damals hatte der Sicherheitsforscher und Journalist Brian Krebs, der zuvor ebenfalls per DDoS angegriffen worden war, auf Schwachstellen in der Software der Geräte hingewiesen.

Zugangs-ID von MAC-Adresse abgeleitet

Nach Angaben von SEC Consult beseitigte Xiongmai zwar solche Lücken, die für den Aufbau des Mirai-Botnetzes genutzt wurden. Problematisch sei jedoch weiterhin, dass die Xiongmai-Geräte standardmäßig über einen firmeneigenen Cloud-Dienst (XMEye P2P Cloud) vom Nutzer weltweit über das Internet abgerufen werden können. Über ein Reverse-Engineering der Firmware gelang es den Forschern in diesem Fall, die Zugangsdaten der Geräte zu bestimmen. So werde die Cloud-ID von der MAC-Adresse des Gerätes abgeleitet. Xiongmai verwendet dabei verschiedene Herstellerkennungen (OUI - Organizationally Unique Identifier), die Teil der MAC-Adresse sind.

Auf Basis des proprietären Übertragungsprotokolls zwischen Gerät und Cloud, das die Forscher per Reverse Engineering analysierten, entwickelten sie einen Scanner, der die Xiongmai-Server nach gültigen Cloud-IDs durchsuchte. Mit dem Scanner wurden zwei Prozent der Geräte für jeden OUI-Bereich durchsucht. Eine Hochrechnung habe ergeben, dass von den insgesamt 16 Millionen Geräten "zu diesem Zeitpunkt mindestens 9 Millionen Geräte in den angegebenen OUI-Bereichen online waren". Dabei ließ sich auch feststellen, welcher geografischen IP-Adresse das jeweilige Gerät zugeordnet ist. Geschätzte 1.319.000 Geräte wurden dabei einem Cloud-Hop-Server in Deutschland zugeordnet, wobei dieser jedoch Geräte aus ganz Europa abdecken dürfte.

Standardpasswort für Admin ist leer

Stellenmarkt
  1. operational services GmbH & Co. KG, Frankfurt am Main, München
  2. Kratzer EDV GmbH, München

Ein weiteres Problem: Das Standardpasswort des Administrators (Benutzername "admin") ist leer. Bei Inbetriebnahme sei nicht erforderlich, ein Passwort zu wählen. Daher sei es wahrscheinlich, dass eine große Anzahl von Geräten weiterhin über diese Standarddaten erreichbar sei. Der Admin-Benutzer könne Videostreams anzeigen, die Gerätekonfiguration ändern und auch Firmware-Updates durchführen. Zudem gebe es einen undokumentierten Benutzer "default" mit dem Passwort "tluafed", also "default" rückwärts geschrieben. Auch dieser Nutzer könne sich über die Cloud bei einem Gerät anmelden und Videodaten anschauen. Diese würden außerdem unverschlüsselt übertragen.

Auch die Ausführung von Schadcode über ein Firmware-Update sei möglich, da die Updates nicht signiert seien. Ebenfalls könne dazu die "InstallDesc"-Textdatei im Firmware-Update modifiziert werden. Diese enthalte Kommandos, die während des Updates ausgeführt würden. Es sei sogar möglich, die veränderten Updates anschließend über die Cloud an andere Geräte weiterzuverbreiten. Dafür müsse sich ein Angreifer lediglich über einen Eintrag in den DNS-Einstellungen des Geräts als Cloud-Update Server mit dem Namen "upgrade.secu100.net" ausgeben.

Geklaute MAC-Herstellerkennung 
  1. 1
  2. 2
  3.  


Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)
  2. 49,70€

Folgen Sie uns
       


Xiaomi Mi 9T Pro - Fazit

Das Mi 9T Pro von Xiaomi ist eines der ersten Smartphones, das der chinesische Hersteller offiziell in Deutschland anbietet. Im Test überzeugt das Gerät durch sehr gute Hardware zu einem verhältnismäßig geringen Preis.

Xiaomi Mi 9T Pro - Fazit Video aufrufen
MINT: Werden Frauen überfördert?
MINT
Werden Frauen überfördert?

Es gibt hierzulande einige Förderprogramme, die mehr Frauen für MINT begeistern und in IT-Berufe bringen möchten. Werden Männer dadurch benachteiligt?
Von Valerie Lux

  1. Recruiting Wenn das eigene Wachstum zur Herausforderung wird
  2. Recruiting Alle Einstellungsprozesse sind fehlerhaft
  3. LoL Was ein E-Sport-Trainer können muss

Verkehrssicherheit: Die Lehren aus dem tödlichen SUV-Unfall
Verkehrssicherheit
Die Lehren aus dem tödlichen SUV-Unfall

Soll man tonnenschwere SUV aus den Innenstädten verbannen? Oder sollten technische Systeme schärfer in die Fahrzeugsteuerung eingreifen? Nach einem Unfall mit vier Toten in Berlin mangelt es nicht an radikalen Vorschlägen.
Eine Analyse von Friedhelm Greis

  1. Torc Robotics Daimler-Tochter testet selbstfahrende Lkw
  2. Edag Citybot Wandelbares Auto mit Rucksackmodulen gegen Verkehrsprobleme
  3. Tusimple UPS testet automatisiert fahrende Lkw

Astronomie: K2-18b ist weder eine zweite Erde noch super
Astronomie
K2-18b ist weder eine zweite Erde noch super

Die Realität sieht anders aus, als manche Überschrift vermuten lässt. Die neue Entdeckung von Wasser auf einem Exoplaneten deutet nicht auf Leben hin, dafür aber auf Probleme im Wissenschaftsbetrieb.
Von Frank Wunderlich-Pfeiffer

  1. Interview Heino Falcke "Wir machen Wettermodelle für schwarze Löcher"

    •  /