Unsichere IoT-Video-Türklingeln

Beitrag teilen

Softwarefehler bei IoT-Video-Türklingeln können für unberechtigte Zugriffe und Kontrolle sorgen. Entwickler, Hersteller und Plattformanbieter sind gemeinsam in der Sicherheitspflicht. 

Video-Türklingeln zur Selbstmontage, wie sie auch von immer verfügbaren KMUs genutzt werden, können von Hackern unter ihre Kontrolle gebracht werden. Fehler beim Entwickeln der IoT-Systeme haben dann unerwartete Konsequenzen. Angegriffene Systeme verletzen unter Umständen die Privatsphäre, die sie eigentlich beschützen sollen. Nur die Zusammenarbeit von Sicherheitsexperten, Plattformentwicklern und Produktherstellern sichert digitale Sprechanlagen.

Cloudbasierte Video-Sprechanlagen

Über cloudbasierte Video-Sprechanlagen wie LifeShield reden Anwender mit Besuchern an der Tür. Sie verlassen sich darüber hinaus bei Abwesenheit auf die überall verfügbaren Livebilder von zu Hause. Solche IoT-Angebote sind aber auch ein potenzielles Angriffsziel für Cyberkriminelle. Um Sicherheitslücken bei seinen LifeShield-Systemen zu schließen, patchte ADT nach Hinweis von Bitdefenders Sicherheitsexperten kürzlich 1.500 Geräte. Dies zeigt die aktuellen Gefahren solcher IoT-Geräte, deren Sicherheit sehr oft noch zu wünschen übriglässt.

Offengelegte Risiken bei IoT-Systemen

Offenlegen des Administratorkennworts der Kamera

Die Klingel identifizierte sich beim zentralen Server durch ihre MAC-Adresse. Die Cloud-Plattform verwendete ein grundlegendes Verfahren, um die Klingel zu authentifizieren. Der Anwendername lautete zunächst „camera0“ und das Passwort erhielten die Nutzer beim Einrichten des Geräts. In der Konfigurationsphase akzeptierte und beantwortete der Server die damit einhergehenden Nachrichten. Den Autorisierungs-Header ignorierte er, weil ja kein Passwort vergeben war. Aber selbst nach abgeschlossenem Setup und angelegtem Zugangsbegriff antwortete der Server zunächst weiter auf Anfragen mit falschen Zugangsdaten und gab dabei die letzten ihn bekannten Zugangsdaten für das Gerät preis: Letzen Endes konnten Hacker lediglich mit der MAC-Adresse der Kamera das Administrator-Kennwort für diese Türklingel erfahren.

Feindliche Übernahme über das Netz

Bogdan Botezatu, Leiter der Bedrohungsanalyse bei Bitdefender

Bogdan Botezatu, Leiter der Bedrohungsanalyse bei Bitdefender

Eine intelligente, cloudbasierte Videoklingel ist eine Schnittstelle ins Internet. Manche der Funktionen des Webservers – wie das Anfertigen eines Schnappschusses oder die Suche nach Informationen – verlangten keine Authentifikation. Die Administratoren-Schnittstelle war zwar durch ein Passwort geschützt, welches sich aber wie im vorherigen Absatz beschrieben herausfinden ließ. Mit diesen Zugangsdaten und über die Schnittstelle konnten Hacker über Command Injection Befehle erteilen und Zugriff auf Root-Ebene erhalten.

Offene RTSP-Server

Die Kamera der Türklingel überträgt die Bilder auf einen Real Time Streaming Protocol-(RTSP)-Server über Port 554. Dieser Weg war durch keinerlei Authentifizierung geschützt. Damit konnten Außenstehende Audio-Video-Feeds mit jedem kompatiblen Media Player abspielen.

Gefährlich werden solche Angriffe vor allem in Immobilien mit vielen Parteien wie kleine Läden oder Gebäude mit WGs, vielen Vermietern oder auch Bürogemeinschaften. Hier könnten andere Teilnehmer im selben drahtlosen Netz und in Reichweite der betroffenen Systeme Gespräche abhören.

Risikofaktor Smart Home IoT

Weitere behobene Lücken belegen typische Gefahren durch IoT in intelligenten Gebäuden:

  • Schon 2019 wurde für die Ring Doorbell Pro-Kameras von Amazon ein Sicherheitsupdate fällig, weil das Überprüfen der Identität an einem Access Point über unverschlüsseltes HTTP erfolgte. Hacker in Reichweite hätten damit Zugangsdaten ausspionieren können.
  • 2020 fanden Experten bei August Smart Lock Pro Schwachstellen in smarten Türschlössern. Sie ermöglichte den Diebstahl eines WLAN-Passwortes mit allen damit verbundenen Möglichkeiten wie Zugriff auf den Speicherzugriff, Spionage, Stehlen von Passwörtern sowie von Daten oder von persönlichen Informationen zu betrügerischen Zwecken.
  • Über die Cloud geregeltes Licht oder automatische Funktionen in intelligenten Gebäuden stellten ein weiteres Risiko für die Hausbesitzer dar. Hacker hatten die Möglichkeit, den Update-Prozess der Firmware für intelligente Steckdosen, Glühbirnenhalter und Wandschalter über die eWeLink-Plattform zu kontrollieren und bösartige Updates einzuspielen. Verantwortlich war erneut ein fehlerhaft entworfener Authentifikationsprozess der Schalter durch den Server. Dafür genügte dem Hacker am Ende eine gültige ID-Nummer, die Angreifer über jedes beliebige Smartphone eingegeben konnten.

Solche Fehler in der Entwicklung kommen in der nicht standardisierten IoT-Welt häufig vor. Sicherheitsexperten wenden sich frühzeitig an die Hersteller, finden aber oft nur nach einiger Zeit und manchmal gar kein Gehör – anders als in den hier präsentierten Fällen.

Jeder Gegenstand mit Anschluss an das Internet ist prinzipiell hackbar. Anwender sollten daher IoT-Geräte streng überwachen und soweit wie möglich von lokalen oder Gastnetzen isolieren – etwa durch ein dediziertes SSID nur für IoT-Hardware. Hersteller erhöhen durch automatisierte Aktualisierung ihrer Systeme die Sicherheit. Darauf sollten auch Anwender Wert legen. Zudem sollten IT-Security-Dienste und Software auch IoT-Geräte scannen. Moderne Router können so private Netze inklusive IoT-Hardware schützen.

Mehrere Whitepaper und technische Berichte und Dokumentationen stehen online bereit:

 

Mehr dazu bei Bitdefender.com

 


Über Bitdefender

Bitdefender ist ein weltweit führender Anbieter von Cybersicherheitslösungen und Antivirensoftware und schützt über 500 Millionen Systeme in mehr als 150 Ländern. Seit der Gründung im Jahr 2001 sorgen Innovationen des Unternehmens regelmäßig für ausgezeichnete Sicherheitsprodukte und intelligenten Schutz für Geräte, Netzwerke und Cloud-Dienste von Privatkunden und Unternehmen. Als Zulieferer erster Wahl befindet sich Bitdefender-Technologie in 38 Prozent der weltweit eingesetzten Sicherheitslösungen und genießt Vertrauen und Anerkennung bei Branchenexperten, Herstellern und Kunden gleichermaßen. www.bitdefender.de


 

Passende Artikel zum Thema

Cyberbedrohungen in Deutschland – ein Rückblick und Ausblick

Phishing-Attacken, Ransomware-Angriffe, ki-gestützte Malware - die Cyberbedrohungen werden immer raffinierter und nehmen zu. Eine Studie hat untersucht, wie deutsche Unternehmen ➡ Weiterlesen

IT-Sicherheit: NIS-2 macht sie zur Chefsache

Nur bei einem Viertel der deutschen Unternehmen übernimmt die Geschäftsführung die Verantwortung für die IT-Sicherheit. Vor allem in kleineren Unternehmen ➡ Weiterlesen

Anstieg der Cyberangriffe um 104 Prozent in 2023

Ein Unternehmen für Cybersicherheit hat die Bedrohungslandschaft des letzten Jahres unter die Lupe genommen. Die Ergebnisse bieten entscheidende Einblicke in ➡ Weiterlesen

Mobile Spyware ist eine Gefahr für Unternehmen

Sowohl im Alltag als auch in Unternehmen nutzen immer mehr Menschen mobile Geräte. Dadurch nimmt auch die Gefahr von "Mobil ➡ Weiterlesen

Crowdsourced Security lokalisiert viele Schwachstellen

Crowdsourced Security hat im letzten Jahr stark zugenommen. Im öffentlichen Bereich wurden 151 Prozent mehr Schwachstellen gemeldet als im Vorjahr. ➡ Weiterlesen

Digitale Sicherheit: Verbraucher vertrauen Banken am meisten

Eine Umfrage zum digitalen Vertrauen zeigte, dass Banken, das Gesundheitswesen und Behörden das meiste Vertrauen der Verbraucher genießen. Die Medien- ➡ Weiterlesen

Stellenbörse Darknet: Hacker suchen abtrünnige Insider

Das Darknet ist nicht nur eine Umschlagbörse für illegale Waren, sondern auch ein Ort, an dem Hacker neue Komplizen suchen ➡ Weiterlesen

Solarenergieanlagen – wie sicher sind sie?

Eine Studie hat die IT-Sicherheit von Solarenergieanlagen untersucht. Probleme bereiten fehlende Verschlüsselung bei der Datenübertragung, Standardpasswörter und unsichere Firmware-Updates. Trend ➡ Weiterlesen