Anzeige

Webcam

Das Smart Home erobert die Wohnung. Laut dem Branchenverband Bitkom besitzt mindestens jeder vierte eine Smart-Home-Anwendung. Gerade Video-Überwachung zählt hier zu den beliebtesten Anwendungsgebieten. ESET-Forscher haben schwerwiegende Sicherheitslücken in einer beliebten Cloud-Kamera der Firma D-Link entdeckt.

Die "D-Link DCS-2132L" sendet die Videodaten im "mydlink"-Tunnel unverschlüsselt an das Smartphone des Besitzers. Angreifer können sich so per Man-in-the-middle Attacke in den Videostream einklinken oder diesen manipulieren. Die ESET-Forscher haben D-Link im August 2018 bereits umfangreiches Material über die Schwachstellen zur Verfügung gestellt. Bisher wurden bei diesem Kameramodell aber nicht alle von ESET gemeldeten möglichen Angriffspunkte geschlossen.

"Dieser Fall zeigt einmal mehr, dass Unternehmen bei der Entwicklung neuer Geräte, insbesondere im Smart Home Bereich, höhere Sicherheitsstandards anlegen sollten", fordert Thomas Uhlemann, ESET Security Specialist. "Im aktuellen Fall raten wir Besitzern dringend, sofort zu prüfen, ob der Port 80 über das Internet erreichbar ist und den Fernzugriff in den Einstellungen zu deaktivieren."

Angreifer können Videostream abfangen und manipulieren

Besitzer der Kamera haben die Möglichkeit, durch eine spezielle App, zum Beispiel auf ihrem Smartphone, die Kamera aus der Ferne zu nutzen. Leider sind nur Teile des Datenverkehrs verschlüsselt und sensible Bereiche, wie Anfragen zur Kamera IP- und MAC-Adresse, Versionsinformationen, der Video- und Audio-Stream sowie weitere Informationen sind unverschlüsselt einsehbar. Sogar die Firmware der Kamera lässt sich durch die Sicherheitslücken austauschen. Ob das Update der Gerätesoftware legitim ist, wird nicht abgefragt. Daher ist es ohne weites möglich, eine manipulierte Firmware mit Spionagesoftware, Krypto-Miner, Botnetze oder anderen Trojaner zu installieren.

D-Link hat Fehler nur teilweise behoben

Bereits im August des letzten Jahres haben die ESET-Forscher die Sicherheitslücken an D-Link gemeldet. Hierauf hat das Unternehmen umgehend reagiert und die Behebung der Fehler angestoßen. Seitdem wurden zwar einige Probleme behoben, andere sind aber noch immer vorhanden. Noch immer können Angreifer die Audio- und Video-Streams abfangen und die Firmware ersetzen.

Das können Nutzer jetzt tun

  • Ports überprüfen: ESET rät Besitzern der Kamera, umgehend zu prüfen, ob der Port 80 über das Internet erreichbar ist. Für diesen Test kann zum Beispiel ein Port Scanner genutzt werden.
     
  • Fernzugriff überdenken: Überwacht die Kamera sensible Bereiche des Haushalts oder Unternehmens? Dann sollten Nutzer umgehend den Fernzugriff deaktivieren.
     
  • UPnP deaktiveren: Universal Plug and Play (UPnP) ist für die reibungslose Kommunikation zwischen den Geräten im Netzwerk zuständig. Wenn diese Funktion nicht erforderlich ist, sollte sie besser ausgestellt werden.
     
  • Sicherheits-Updates installieren: Regelmäßig sollten Anwender die Geräte im Smart Home auf Updates überprüfen und sie umgehend installieren.
     
  • Voreingestellte Passwörter ändern: Viele smarte Geräte verfügen über einen Web-Login. In einigen Fällen besteht der Administrator-Zugang aus simplen Kombinationen wie "admin:admin" oder "admin:root". Kriminelle kennen diese "Zugangsdaten". Anwender sollten daher den Zugang sofort mit einem anderen, starken Passwort oder besser einer Passphrase ändern.

Weitere Informationen:

Die gesamten Ergebnisse der ESET-Forscher gibt es auf WeLiveSecurity: https://www.welivesecurity.com/deutsch/2019/05/02/d-link-cloud-kamera-angezapft-sicherheitsluecke

www.eset.com/de
 


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Weitere Artikel

Smart-Home

Handwerk profitiert vom Smart-Home-Boom

Das Smart Home wird in Deutschland beliebter: Schon 37 Prozent der Verbraucher haben in ihren eigenen vier Wänden mindestens eine Smart-Home-Lösung installiert – das entspricht 26 Millionen Bundesbürgern ab 16 Jahren. Besonders häufig sind intelligente…
Handschlag

Wolfgang Braunmiller wird Geschäftsführer valantic people

Wolfgang Braunmiller (52) ist mit Wirkung zum 1. September 2020 Teil der Geschäftsführung von valantic und verantwortlich für das Competence Center valantic people mit Fokus auf SAP Human Capital Management (HCM). Als Chief Operational Officer (COO) will der…
McAfee

IT-Sicherheitsfirma McAfee will zurück an die Börse

Die traditionsreiche IT-Sicherheitsfirma McAfee will nach über zehn Jahren eigenständig an die Börse zurück. Das Unternehmen beantragte am Montag (Ortszeit) eine Aktiennotiz unter dem Tickerkürzel «MCFE» an der New Yorker Nasdaq. Zum Zeitplan und zum Volumen…
Amazon

Insiderhandel: Ex-Amazon-Managerin und Familienmitglieder angeklagt

Die US-Börsenaufsicht SEC hat eine ehemalige Finanzmanagerin des Internetriesen Amazon und zwei Familienmitglieder wegen Insiderhandels angeklagt. Die Beschuldigten hätten zwischen Januar 2016 und Juli 2018 gemeinsam mehr als 1,4 Millionen Dollar (1,2 Mio…
Microsoft Cloud

Cloud-Störung bei Microsoft

Der Software-Riese Microsoft hat in der Nacht zum Dienstag mit einer Störung bei seinen Cloud-Diensten zu kämpfen gehabt. Unter anderem waren die Online-Versionen seiner Office-Programme im Dienst nicht erreichbar, wie der Konzern auf einer Statusseite…
fortnite

Richterin erwartet Prozess in «Fortnite»-Streit im Juli 2021

Im Streit zwischen den Machern des populären Smartphone-Spiels «Fortnite» stellt sich die zuständige Richterin auf einen Prozess im Juli 2021 ein. Sie halte es für angemessen, die Entscheidung Geschworenen zu überlassen, sagte Richterin Yvonne Gonzalez Rogers…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!