Unsichere IoT-Video-Türklingeln

Anzeige

Beitrag teilen

Softwarefehler bei IoT-Video-Türklingeln können für unberechtigte Zugriffe und Kontrolle sorgen. Entwickler, Hersteller und Plattformanbieter sind gemeinsam in der Sicherheitspflicht. 

Video-Türklingeln zur Selbstmontage, wie sie auch von immer verfügbaren KMUs genutzt werden, können von Hackern unter ihre Kontrolle gebracht werden. Fehler beim Entwickeln der IoT-Systeme haben dann unerwartete Konsequenzen. Angegriffene Systeme verletzen unter Umständen die Privatsphäre, die sie eigentlich beschützen sollen. Nur die Zusammenarbeit von Sicherheitsexperten, Plattformentwicklern und Produktherstellern sichert digitale Sprechanlagen.

Anzeige

Cloudbasierte Video-Sprechanlagen

Über cloudbasierte Video-Sprechanlagen wie LifeShield reden Anwender mit Besuchern an der Tür. Sie verlassen sich darüber hinaus bei Abwesenheit auf die überall verfügbaren Livebilder von zu Hause. Solche IoT-Angebote sind aber auch ein potenzielles Angriffsziel für Cyberkriminelle. Um Sicherheitslücken bei seinen LifeShield-Systemen zu schließen, patchte ADT nach Hinweis von Bitdefenders Sicherheitsexperten kürzlich 1.500 Geräte. Dies zeigt die aktuellen Gefahren solcher IoT-Geräte, deren Sicherheit sehr oft noch zu wünschen übriglässt.

Offengelegte Risiken bei IoT-Systemen

Offenlegen des Administratorkennworts der Kamera

Die Klingel identifizierte sich beim zentralen Server durch ihre MAC-Adresse. Die Cloud-Plattform verwendete ein grundlegendes Verfahren, um die Klingel zu authentifizieren. Der Anwendername lautete zunächst „camera0“ und das Passwort erhielten die Nutzer beim Einrichten des Geräts. In der Konfigurationsphase akzeptierte und beantwortete der Server die damit einhergehenden Nachrichten. Den Autorisierungs-Header ignorierte er, weil ja kein Passwort vergeben war. Aber selbst nach abgeschlossenem Setup und angelegtem Zugangsbegriff antwortete der Server zunächst weiter auf Anfragen mit falschen Zugangsdaten und gab dabei die letzten ihn bekannten Zugangsdaten für das Gerät preis: Letzen Endes konnten Hacker lediglich mit der MAC-Adresse der Kamera das Administrator-Kennwort für diese Türklingel erfahren.

Anzeige

Jetzt Newsletter abonnieren

Einmal im Monat die besten News von B2B CYBER SECURITY lesen



Mit Klick auf „Anmelden“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden. Weitere Informationen finde ich in unserer Datenschutzerklärung. Nach dem Anmelden erhalten Sie zuerst eine Bestätigungsmail, damit keine anderen Personen Ihnen etwas ungewolltes bestellen können.
Aufklappen für Details zu Ihrer Einwilligung
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung. Sie können jederzeit den Newsletter wieder abbestellen. Einen entsprechenden Link finden Sie im Newsletter. Nach einer Abmeldung werden Ihre Daten in kürzester Zeit gelöscht. Eine Wiederherstellung ist nicht möglich. Falls Sie den Newsletter erneut haben möchten, ordern sie diesen einfach neu. Verfahren Sie auch so, wenn Sie eine andere E-Mail-Adresse für Ihren Newsletter nutzen möchten. Wenn Sie den auf der Website angebotenen Newsletter beziehen möchten, benötigen wir von Ihnen eine E-Mail-Adresse sowie Informationen, welche uns die Überprüfung gestatten, dass Sie der Inhaber der angegebenen E-Mail-Adresse und mit dem Empfang des Newsletters einverstanden sind. Weitere Daten werden nicht bzw. nur auf freiwilliger Basis erhoben. Für die Abwicklung der Newsletter nutzen wir Newsletterdiensteanbieter, die nachfolgend beschrieben werden.

CleverReach

Diese Website nutzt CleverReach für den Versand von Newslettern. Anbieter ist die CleverReach GmbH & Co. KG, Schafjückenweg 2, 26180 Rastede, Deutschland (nachfolgend „CleverReach“). CleverReach ist ein Dienst, mit dem der Newsletterversand organisiert und analysiert werden kann. Die von Ihnen zwecks Newsletterbezug eingegebenen Daten (z. B. E-Mail-Adresse) werden auf den Servern von CleverReach in Deutschland bzw. Irland gespeichert. Unsere mit CleverReach versandten Newsletter ermöglichen uns die Analyse des Verhaltens der Newsletterempfänger. Hierbei kann u. a. analysiert werden, wie viele Empfänger die Newsletternachricht geöffnet haben und wie oft welcher Link im Newsletter angeklickt wurde. Mit Hilfe des sogenannten Conversion-Trackings kann außerdem analysiert werden, ob nach Anklicken des Links im Newsletter eine vorab definierte Aktion (z. B. Kauf eines Produkts auf dieser Website) erfolgt ist. Weitere Informationen zur Datenanalyse durch CleverReach-Newsletter erhalten Sie unter: https://www.cleverreach.com/de/funktionen/reporting-und-tracking/. Die Datenverarbeitung erfolgt auf Grundlage Ihrer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO). Sie können diese Einwilligung jederzeit widerrufen, indem Sie den Newsletter abbestellen. Die Rechtmäßigkeit der bereits erfolgten Datenverarbeitungsvorgänge bleibt vom Widerruf unberührt. Wenn Sie keine Analyse durch CleverReach wollen, müssen Sie den Newsletter abbestellen. Hierfür stellen wir in jeder Newsletternachricht einen entsprechenden Link zur Verfügung. Die von Ihnen zum Zwecke des Newsletter-Bezugs bei uns hinterlegten Daten werden von uns bis zu Ihrer Austragung aus dem Newsletter bei uns bzw. dem Newsletterdiensteanbieter gespeichert und nach der Abbestellung des Newsletters aus der Newsletterverteilerliste gelöscht. Daten, die zu anderen Zwecken bei uns gespeichert wurden, bleiben hiervon unberührt. Nach Ihrer Austragung aus der Newsletterverteilerliste wird Ihre E-Mail-Adresse bei uns bzw. dem Newsletterdiensteanbieter ggf. in einer Blacklist gespeichert, sofern dies zur Verhinderung künftiger Mailings erforderlich ist. Die Daten aus der Blacklist werden nur für diesen Zweck verwendet und nicht mit anderen Daten zusammengeführt. Dies dient sowohl Ihrem Interesse als auch unserem Interesse an der Einhaltung der gesetzlichen Vorgaben beim Versand von Newslettern (berechtigtes Interesse im Sinne des Art. 6 Abs. 1 lit. f DSGVO). Die Speicherung in der Blacklist ist zeitlich nicht befristet. Sie können der Speicherung widersprechen, sofern Ihre Interessen unser berechtigtes Interesse überwiegen. Näheres entnehmen Sie den Datenschutzbestimmungen von CleverReach unter: https://www.cleverreach.com/de/datenschutz/.

Auftragsverarbeitung

Wir haben einen Vertrag über Auftragsverarbeitung (AVV) zur Nutzung des oben genannten Dienstes geschlossen. Hierbei handelt es sich um einen datenschutzrechtlich vorgeschriebenen Vertrag, der gewährleistet, dass dieser die personenbezogenen Daten unserer Websitebesucher nur nach unseren Weisungen und unter Einhaltung der DSGVO verarbeitet.

Feindliche Übernahme über das Netz

Bogdan Botezatu, Leiter der Bedrohungsanalyse bei Bitdefender

Bogdan Botezatu, Leiter der Bedrohungsanalyse bei Bitdefender

Eine intelligente, cloudbasierte Videoklingel ist eine Schnittstelle ins Internet. Manche der Funktionen des Webservers – wie das Anfertigen eines Schnappschusses oder die Suche nach Informationen – verlangten keine Authentifikation. Die Administratoren-Schnittstelle war zwar durch ein Passwort geschützt, welches sich aber wie im vorherigen Absatz beschrieben herausfinden ließ. Mit diesen Zugangsdaten und über die Schnittstelle konnten Hacker über Command Injection Befehle erteilen und Zugriff auf Root-Ebene erhalten.

Offene RTSP-Server

Die Kamera der Türklingel überträgt die Bilder auf einen Real Time Streaming Protocol-(RTSP)-Server über Port 554. Dieser Weg war durch keinerlei Authentifizierung geschützt. Damit konnten Außenstehende Audio-Video-Feeds mit jedem kompatiblen Media Player abspielen.

Gefährlich werden solche Angriffe vor allem in Immobilien mit vielen Parteien wie kleine Läden oder Gebäude mit WGs, vielen Vermietern oder auch Bürogemeinschaften. Hier könnten andere Teilnehmer im selben drahtlosen Netz und in Reichweite der betroffenen Systeme Gespräche abhören.

Risikofaktor Smart Home IoT

Weitere behobene Lücken belegen typische Gefahren durch IoT in intelligenten Gebäuden:

  • Schon 2019 wurde für die Ring Doorbell Pro-Kameras von Amazon ein Sicherheitsupdate fällig, weil das Überprüfen der Identität an einem Access Point über unverschlüsseltes HTTP erfolgte. Hacker in Reichweite hätten damit Zugangsdaten ausspionieren können.
  • 2020 fanden Experten bei August Smart Lock Pro Schwachstellen in smarten Türschlössern. Sie ermöglichte den Diebstahl eines WLAN-Passwortes mit allen damit verbundenen Möglichkeiten wie Zugriff auf den Speicherzugriff, Spionage, Stehlen von Passwörtern sowie von Daten oder von persönlichen Informationen zu betrügerischen Zwecken.
  • Über die Cloud geregeltes Licht oder automatische Funktionen in intelligenten Gebäuden stellten ein weiteres Risiko für die Hausbesitzer dar. Hacker hatten die Möglichkeit, den Update-Prozess der Firmware für intelligente Steckdosen, Glühbirnenhalter und Wandschalter über die eWeLink-Plattform zu kontrollieren und bösartige Updates einzuspielen. Verantwortlich war erneut ein fehlerhaft entworfener Authentifikationsprozess der Schalter durch den Server. Dafür genügte dem Hacker am Ende eine gültige ID-Nummer, die Angreifer über jedes beliebige Smartphone eingegeben konnten.

Solche Fehler in der Entwicklung kommen in der nicht standardisierten IoT-Welt häufig vor. Sicherheitsexperten wenden sich frühzeitig an die Hersteller, finden aber oft nur nach einiger Zeit und manchmal gar kein Gehör – anders als in den hier präsentierten Fällen.

Jeder Gegenstand mit Anschluss an das Internet ist prinzipiell hackbar. Anwender sollten daher IoT-Geräte streng überwachen und soweit wie möglich von lokalen oder Gastnetzen isolieren – etwa durch ein dediziertes SSID nur für IoT-Hardware. Hersteller erhöhen durch automatisierte Aktualisierung ihrer Systeme die Sicherheit. Darauf sollten auch Anwender Wert legen. Zudem sollten IT-Security-Dienste und Software auch IoT-Geräte scannen. Moderne Router können so private Netze inklusive IoT-Hardware schützen.

Mehrere Whitepaper und technische Berichte und Dokumentationen stehen online bereit:

 

Mehr dazu bei Bitdefender.com

 


Über Bitdefender

Bitdefender ist ein weltweit führender Anbieter von Cybersicherheitslösungen und Antivirensoftware und schützt über 500 Millionen Systeme in mehr als 150 Ländern. Seit der Gründung im Jahr 2001 sorgen Innovationen des Unternehmens regelmäßig für ausgezeichnete Sicherheitsprodukte und intelligenten Schutz für Geräte, Netzwerke und Cloud-Dienste von Privatkunden und Unternehmen. Als Zulieferer erster Wahl befindet sich Bitdefender-Technologie in 38 Prozent der weltweit eingesetzten Sicherheitslösungen und genießt Vertrauen und Anerkennung bei Branchenexperten, Herstellern und Kunden gleichermaßen. www.bitdefender.de


 

Passende Artikel zum Thema

Cyberabwehr mit KI: 3 von 4 Unternehmen setzen bereits darauf 

Bei der Cyberabwehr steht KI bereits an vorderster Front: 74 Prozent der deutschen Unternehmen setzen KI bereits in der Cyberabwehr ➡ Weiterlesen

Sind Unternehmen gegen quantengestützten Cyberangriffe gerüstet?

Der Q-Day wird zur realen Bedrohung. Der neue Report zeigt, wie sich Unternehmen vorbereiten. „Q-Day“ bezeichnet den Tag, an dem ➡ Weiterlesen

Ransomware-Erpressung: Fast jedes zweite Unternehmen zahlt

Der neue „State of Ransomware 2025“-Report von Sophos bestätigt eine durchschnittliche Lösegeldzahlung von 1 Million US-Dollar (€ 869.591). Neu ist, ➡ Weiterlesen

Management externer Angriffsoberfläche für Unternehmen und MSP 

Die neue Lösung für das Management der externen Angriffsoberfläche bringt für Unternehmen und MSP Kunden neue Sicherheit. Die Bitdefender-Lösung GravityZone ➡ Weiterlesen

Der Data Act steht vor der Tür

In etwas mehr als 60 Tagen müssen die Unternehmen den Data Act umgesetzt haben – doch die große Mehrheit der ➡ Weiterlesen

Cybersicherheit im Einkauf: Kostendruck und fehlende Standards

Cybersicherheit: Die größten strukturellen Defizite liegen in der Standardisierung von Sicherheitskriterien und der strategischen Gewichtung von Sicherheit gegenüber Kosten. Große ➡ Weiterlesen

Report: Russland intensiviert Cyberangriffe

Der neue APT Activity Report zeigt, dass Russland seine Cyberangriffe immer mehr intensiviert. Der Report von ESET zeigt aktuelle Kampagnen ➡ Weiterlesen

DORA: Digitale Sicherheit im Finanzsektor schaffen

Die europäischen Verordnungen DORA und NIS2 fordern den Aufbau einer digitalen Sicherheitskultur. Das bedeutet für die Finanzbranche, dass sie Maßnahmen ➡ Weiterlesen