Millionen Videokameras angreifbar
Sicherheit. Österreichische Forscher haben bei einem chinesischen Hersteller gravierende Lücken festgestellt
Hangzhou Xiongmai Technology heißt eine Firma aus China, die digitale Videorekorder, Überwachungskameras und Netzwerk-Videorekorder herstellt. Der Name dürfte im ersten Augenblick kaum jemandem etwas sagen, denn es handelt sich dabei um einen sogenannten Originalausrüstungshersteller (OEM).
Über 100 Dritthersteller vertreiben unter anderem Namen die Videoüberwachungsprodukte dieser Firma, darunter befinden sich Produzenten wie SecTec, Nextrend, digoo oder A-Zone. Insgesamt sind laut Recherchen der Sicherheitsforscher von SEC Consult rund neun Millionen Überwachungsgeräte, davon mindestens 1,3 Millionen in Europa, im Einsatz. Die Sicherheitsforscher rund um Stephan Viehböck haben nun gravierende Sicherheitslücken bei der Cloud-Lösung von Xiongmai festgestellt.
Mitlauschen möglich
Über diese ist es möglich, sich in die Videoüberwachung der Geräte einzuklinken und die Benutzer zu beobachten. Geräte, die über eine Gegensprechfunktion verfügen, können auch eingesetzt werden, um mit dem Gegenüber zu kommunizieren. Das erinnert an ein bekanntes Beispiel, das vor einiger Zeit durch die Medien ging. Eine Webcam hatte eine Niederländerin, die damit ihr Haustier beobachten wollte, in ihrem Eigenheim verfolgt und sie plötzlich mit „Hola señorita“angesprochen.
Wirtschaftsspionage
Doch Überwachungskameras werden auch in vielen Unternehmen eingesetzt und damit werden zielgerichtete Angriffe zur Wirtschaftsspionage möglich. Angreifer können sich über die Kamera etwa auch Zugriff auf das lokale Netzwerk verschaffen und von dort aus andere Systeme hacken.
Die Videoüberwachungslösungen werden zudem ohne Standardpasswort für den Administrator ausgeliefert. Dieser Nutzer kann Firmware-Updates durchführen oder die Gerätekonfiguration ändern. Kriminelle könnten sich damit auf fremden Geräten einloggen und einen eigenen, schädlichen Code ausführen und einspielen. Die Überwachungskameras könnten dann, ohne dass ihre Besitzer es mitbekommen, fremdgesteuert werden.
Die Sicherheitsforscher empfehlen daher, sämtliche Xiongmai-Produkte nicht mehr einzusetzen. „Das Ändern des Standardpasswortes reicht in dem Fall nicht aus“, erklärt Johannes Greil, Leiter des SEC Consult Vulnerability Labs, im Gespräch mit dem KURIER. „Dazu sind die gefundenen Lücken zu vielfältig und zu tief.“Der chinesische Hersteller wurde bereits vor sieben Monaten über die Probleme informiert und hat bis zum aktuellen Zeitpunkt keinerlei Update bereitgestellt.