185.000 unsichere Webcams könnten Hackern private Einblicke gewähren

March 9, 2017 - 6:25 pm in Security

[ad_1]

Ein Sicherheitsforscher stieß auf kritische Sicherheitslücken in einer chinesischen Webcam. Das Problem ist, viele Hersteller setzen auf die verwendete Software und verkaufen angreifbare Kameras unter ihrer Marke.

Bei seinen Untersuchungen der chinesischen Webcam P2 WIFICAM stieß der Sicherheitsforscher Pierre Kim auf haarsträubende Sicherheitslücken: Unter anderem hat er eine Backdoor und einen privaten RSA-Schlüssel eines Apple-Entwickler-Zertifikats vorgefunden.

Eine Liste mit betroffenen Webcams listet er in seiner Warnung auf. Darin finden sich in erster Linie hierzulande eher unbekannte Hersteller. Es sind aber auch Modelle von D-Link und Polaroid darunter.

Offen und gefährlich

Die gefährdeten Modelle sind in den Standardeinstellungen oft über das Internet erreichbar. Über die Suchmaschine für das Internet der Dinge Shodan hat Kim eigenen Angaben zufolge 185.000 offen über das Internet erreichbare Webcams gefunden.

Angreifer können beim verwundbaren Admin-Panel ansetzen, um einen Übergriff zu starten. Der Web Server stammt von GoAhead, doch die Sicherheitslücken sollen erst nach der Anpassung durch den Herstellers der chinesischen Webcam Einzug gehalten haben, erläutert Kim. Offensichtlich haben die anderen Hersteller von betroffenen Modellen die Software der chinesischen Webcam als Basis genommen.

Schlimmer geht immer

Über eine Sicherheitslücke im Skript zum Konfigurieren der FTP-Funktion könnten Angreifer Code mit Root-Rechten ausführen und so etwa einen Telnet-Server ohne Passwort-Abfrage aufsetzen. Belauscht ein Hacker den TCP-Port 10554, soll er den Videostream der Kamera ohne Authentifizierung abgreifen können, erläutert Kim. Auch ein Mitschneiden von Login-Daten ist vorstellbar – dafür legt Kim ein Proof of Concept vor. Außerdem könnten Angreifer Schadcode mit Root-Rechten ausführen und die Kameras mit wenig Aufwand in ein Botnet einbinden.

Aufgrund der standardmäßig aktivierten Cloud-Funktion nimmt die Kamera unter anderem Kontakt mit der chinesischen Suchmachschine Baidu auf. Dabei kommt ein UDP-Tunnel zum Einsatz, über den etwa Konfigurationseinstellungen im Klartext übertragen werden. Zudem umgeht der UDP-Tunnel etwa eine Firewall, sodass Angreifer auf dahinter liegende Webcams zugreifen könnten, warnt Kim. In dieser Position soll es unter anderem möglich sein, mittels der Seriennummer einer Kamera die Zugangsdaten automatisch per Brute-Force-Attacke zu ermitteln.

Der Sicherheitsforscher empfiehlt Besitzern von derartigen Webcams, diese sofort vom Internet zu trennen. Da viele Modelle von verschiedenen Herstellern betroffen sind, gestaltet sich die Verteilung von Sicherheitsupdates erfahrungsgemäß als langwierig. Im schlimmsten Fall erhalten Modelle gar keine Sicherheitsupdates. (des)

[ad_2]

Read more on: Source

5G: Das Rennen ist eröffnet

March 9, 2017 - 1:25 am in Internet

[ad_1] Der nächste Netzstandard 5G stellt die Mobilfunkbranche vor neue Herausforderungen. Während die Standardisierung noch läuft, zeigen Ausrüster…

Manjaro 17: Arch Linux mit grafischem Komfort

March 9, 2017 - 1:00 am in OSS

[ad_1] Das Manjaro-Projekt hat Manjaro 17.0 alias "Gellivara" freigegeben. Offizielle Varianten der Arch-basierten Linux-Distribution liefern einen vorkonfigurierten…

Live-Updates für iOS-Apps: Apple will nachträgliche App-Aktualisierung unterbinden

March 9, 2017 - 12:33 am in Software-Entwicklung

[ad_1] Apple hat Entwickler dazu aufgefordert, jeglichen Code zu entfernen, mit dem Apps nach der Zulassungsprüfung verändert werden können. Damit werde Apples Prüfprozess umgangen. Anzeige Apple iPhone 7 32GB schwarz ab € 650,– Apple geht nun gegen…

Hacker nehmen Nintendos Switch ins Visier

March 9, 2017 - 12:25 am in Security

[ad_1] Bereits wenige Tage nach dem Verkaufsstart haben Tüftler den internen Speicher von der neuen Spielkonsole ausgelesen. Aktuell analysieren sie den Inhalt. Nintendo hat derweil sein Bug-Bounty-Programm erweitert. Hacker haben eigenen Angaben zufolge…

Gigabit-Deutschland: 100 Milliarden für den Breitbandausbau

March 8, 2017 - 7:23 am in Internet

[ad_1] Drei Jahre nach ihrem Start hat die "Netzallianz Digitales Deutschland" einen Fahrplan für eine "gigabitfähige konvergente" Breitbandinfrastruktur bis 2025 samt Investitionsrahmen beschlossen. Vor allem bei 5G wollen die Beteiligten vorn dabei sein.…

Sicherheitsupdate härtet WordPress gegen XSS-Angriffe

March 8, 2017 - 6:57 am in OSS

[ad_1] Wer das CMS WordPress nutzt, sollte sicherstellen, dass die aktuelle Version 4.7.3 installiert ist. Ansonsten könnten Angreifer Sicherheitslücken in vorigen Versionen ausnutzen. Alle WordPress-Versionen bis einschließlich 4.7.2 sind verwundbar. Die…

Visual Studio 2017 ist verfügbar

March 8, 2017 - 6:30 am in Software-Entwicklung

[ad_1] Mit viel Tamtam hat Microsoft ein neues Release seiner Entwicklungsumgebung vorgestellt. Zusammen mit Visual Studio 2017 sind außerdem die .NET-Core-Werkzeuge erstmals in einer endgültigen Version erschienen. Microsoft hat die fertige Version von…

Little Monsters: Nutzerdaten aus Lady Gagas Social Network sollen geleakt sein

March 8, 2017 - 6:24 am in Security

[ad_1] Bei Lady Gagas App Little Monsters scheinen Nutzerdaten abhanden gekommen zu sein. Im Netz kursiert eine Datenbank mit privaten Daten von knapp einer Million Nutzer. In einschlägigen Kreisen kursiert ein Datensatz mit gut einer Million Einträgen.…

DVB-T2 HD: Hardware für das hochaufgelöste Antennen-TV

March 7, 2017 - 1:20 pm in Internet

[ad_1] Wenn in drei Wochen das hochauflösende DVB-T2 HD startet, brauchen viele Zuschauer neue Hardware. c't hat Receiver für den Betrieb am TV getestet, den HD-Empfang am Rechner untersucht und Alternativen beleuchtet. Mobiles Internet-Tarifvergleich Anzeige…