Abo
  • Services:

Xiongmai: Millionen IoT-Kameras immer noch angreifbar im Netz

Noch immer sind viele vernetzte Geräte leicht über das Internet zu hacken. Vor allem ein chinesischer Massenhersteller missachtet weiterhin die einfachsten Grundregeln zum sicheren Betrieb der Geräte. Nun gelobt er Besserung.

Artikel veröffentlicht am ,
Von Xiongmai unter dem Label Tmezon verkaufte Überwachungskameras
Von Xiongmai unter dem Label Tmezon verkaufte Überwachungskameras (Bild: Tmezon)

In den Überwachungskameras des chinesischen Herstellers Xiongmai haben Experten schwere Sicherheitslücken entdeckt. Millionen Geräte ließen sich möglicherweise über die automatisch aktivierte Cloud-Funktion per Internet hacken, berichtete das österreichische Sicherheitsunternehmen SEC Consult. Auch digitale Videorekorder (DVR) und Netzwerk-Videorekorder (NVR) seien angreifbar. Die von Xiongmai produzierten Geräte werden demnach unter mehr als 100 anderen Markennamen (PDF) weltweit verkauft.

Inhalt:
  1. Xiongmai: Millionen IoT-Kameras immer noch angreifbar im Netz
  2. Geklaute MAC-Herstellerkennung

Spätestens seit den Angriffen des Mirai-Botnetzes im Herbst 2016 sind Gefahren durch unsichere, vernetzte Geräte bekannt. Schon damals hatte der Sicherheitsforscher und Journalist Brian Krebs, der zuvor ebenfalls per DDoS angegriffen worden war, auf Schwachstellen in der Software der Geräte hingewiesen.

Zugangs-ID von MAC-Adresse abgeleitet

Nach Angaben von SEC Consult beseitigte Xiongmai zwar solche Lücken, die für den Aufbau des Mirai-Botnetzes genutzt wurden. Problematisch sei jedoch weiterhin, dass die Xiongmai-Geräte standardmäßig über einen firmeneigenen Cloud-Dienst (XMEye P2P Cloud) vom Nutzer weltweit über das Internet abgerufen werden können. Über ein Reverse-Engineering der Firmware gelang es den Forschern in diesem Fall, die Zugangsdaten der Geräte zu bestimmen. So werde die Cloud-ID von der MAC-Adresse des Gerätes abgeleitet. Xiongmai verwendet dabei verschiedene Herstellerkennungen (OUI - Organizationally Unique Identifier), die Teil der MAC-Adresse sind.

Auf Basis des proprietären Übertragungsprotokolls zwischen Gerät und Cloud, das die Forscher per Reverse Engineering analysierten, entwickelten sie einen Scanner, der die Xiongmai-Server nach gültigen Cloud-IDs durchsuchte. Mit dem Scanner wurden zwei Prozent der Geräte für jeden OUI-Bereich durchsucht. Eine Hochrechnung habe ergeben, dass von den insgesamt 16 Millionen Geräten "zu diesem Zeitpunkt mindestens 9 Millionen Geräte in den angegebenen OUI-Bereichen online waren". Dabei ließ sich auch feststellen, welcher geografischen IP-Adresse das jeweilige Gerät zugeordnet ist. Geschätzte 1.319.000 Geräte wurden dabei einem Cloud-Hop-Server in Deutschland zugeordnet, wobei dieser jedoch Geräte aus ganz Europa abdecken dürfte.

Standardpasswort für Admin ist leer

Stellenmarkt
  1. VIRES Simulationstechnologie GmbH, Bad Aibling
  2. EnBW Energie Baden-Württemberg AG, Karlsruhe

Ein weiteres Problem: Das Standardpasswort des Administrators (Benutzername "admin") ist leer. Bei Inbetriebnahme sei nicht erforderlich, ein Passwort zu wählen. Daher sei es wahrscheinlich, dass eine große Anzahl von Geräten weiterhin über diese Standarddaten erreichbar sei. Der Admin-Benutzer könne Videostreams anzeigen, die Gerätekonfiguration ändern und auch Firmware-Updates durchführen. Zudem gebe es einen undokumentierten Benutzer "default" mit dem Passwort "tluafed", also "default" rückwärts geschrieben. Auch dieser Nutzer könne sich über die Cloud bei einem Gerät anmelden und Videodaten anschauen. Diese würden außerdem unverschlüsselt übertragen.

Auch die Ausführung von Schadcode über ein Firmware-Update sei möglich, da die Updates nicht signiert seien. Ebenfalls könne dazu die "InstallDesc"-Textdatei im Firmware-Update modifiziert werden. Diese enthalte Kommandos, die während des Updates ausgeführt würden. Es sei sogar möglich, die veränderten Updates anschließend über die Cloud an andere Geräte weiterzuverbreiten. Dafür müsse sich ein Angreifer lediglich über einen Eintrag in den DNS-Einstellungen des Geräts als Cloud-Update Server mit dem Namen "upgrade.secu100.net" ausgeben.

Geklaute MAC-Herstellerkennung 
  1. 1
  2. 2
  3.  


Anzeige
Spiele-Angebote
  1. 10,95€
  2. 34,99€ (erscheint am 14.02.)
  3. (-80%) 11,99€
  4. für 2€ (nur für Neukunden)

Folgen Sie uns
       


VR-Brille Varjo VR-1 ausprobiert

Das VR-Headset VR-1 von Varjo stellt den zentralen Bereich des Displays sehr scharf dar, wodurch auch feine Details erkennbar sind.

VR-Brille Varjo VR-1 ausprobiert Video aufrufen
Marsrover Opportunity: Mission erfolgreich abgeschlossen
Marsrover Opportunity
Mission erfolgreich abgeschlossen

15 Jahre nach der Landung auf dem Mars erklärt die Nasa das Ende der Mission des Marsrovers Opportunity. Ein Rückblick auf das Ende der Mission und die Messinstrumente, denen wir viele neue Erkenntnisse über den Mars zu verdanken haben.
Von Frank Wunderlich-Pfeiffer

  1. Mars Insight Nasa hofft auf Langeweile auf dem Mars
  2. Astronomie Flüssiges Wasser auf dem Mars war Messfehler
  3. Mars Die Nasa gibt den Rover nicht auf

Carsharing: Regierung will Mobilitätsdienste per Gesetz stärken
Carsharing
Regierung will Mobilitätsdienste per Gesetz stärken

Die digitalen Plattformen für Carsharing und Carpooling sollen Rechtssicherheit bekommen. BMW, Daimler und VW sowie Uber & Co. stehen in den Startlöchern.
Ein Bericht von Daniel Delhaes und Markus Fasse

  1. Lobbyregister EU-Parlament verordnet sich mehr Transparenz
  2. Contract for the web Bundesregierung unterstützt Rechtsanspruch auf Internet
  3. Initiative D21 E-Government-Nutzung in Deutschland ist rückläufig

Varjo VR-Headset im Hands on: Schärfer geht Virtual Reality kaum
Varjo VR-Headset im Hands on
Schärfer geht Virtual Reality kaum

Das VR-Headset mit dem scharfen Sichtfeld ist fertig: Das Varjo VR-1 hat ein hochauflösendes zweites Display, das ins Blickzentrum des Nutzers gespiegelt wird. Zwar sind nicht alle geplanten Funktionen rechtzeitig fertig geworden, die erreichte Bildschärfe und das Eyetracking sind aber beeindruckend - wie auch der Preis.
Ein Hands on von Tobias Költzsch

  1. Und täglich grüßt das Murmeltier Sony bringt VR-Spiel zu Kultfilm mit Bill Murray
  2. Steam Hardware Virtual Reality wächst langsam - aber stetig
  3. AntVR Stirnband soll Motion Sickness in VR verhindern

    •  /