Schwere Lücke bei Überwachungskameras von Hofer und Aldi
Dieser Artikel ist älter als ein Jahr!
Dass die Sicherheitseinstellungen von IP-basierten Überwachungskameras oft zu wünschen übrig lassen, ist altbekannt. Ein Fall einer katastrophalen Lücke betrifft Geräte der Firma supra, die im vergangenen Jahr von Hofer in Österreich und Aldi in Deutschland und der Schweiz hundertfach verkauft wurden. Wie heise nach Informationen des "Zusammenschluss Digitale Gesellschaft" berichtet, sollen die Modelle Maginon IPC-10 AC, IPC-100 AC und IPC-20 C betroffen sein, die zuletzt vor Weihnachten angeboten wurden.
Schwere Sicherheitslücke
Durch den angebotenen Fernzugriff (über Port 80), der bei der ursprünglichen und von Hofer/Aldi mitausgelieferten Firmware nicht durch ein Passwort gesichert werden musste, konnten Fremde nicht nur durch einen Blick durch die Kamera werfen, sondern je nach Modell diese sogar schwenken und durch das Mikrofon mithören. Alle Kameras sind auch in der Dunkelheit anwendbar.
Getoppt wird das Ganze nur noch dadurch, dass Fremde über den Fernzugriff die gesamte Kamera-Konfiguration auslesen konnten, inklusive dem offenbar in Klartext gespeicherten Passwort für WLAN, aber auch Passwörter und User-Logins von Mail- und FTP-Server der User, sofern diese eine Mail-Benachrichtigung der Kamera aktiviert hatten.
Firmware-Update empfohlen
Dem Unternehmen zufolge verhindert ein Firmware-Update (ab 1.2) den ungeschützten Fernzugriff. Laut heise wurden von Hofer und Aldi aber bis zuletzt auch Geräte mit der alten Firmware verkauft. Dazu kommt, dass Hunderte User ihre Kamera bis zuletzt nicht upgedatet haben - nicht zuletzt auch deswegen, weil die Kamera selbst die Aktualität der Firmware nicht überprüft. Dies tut ein mitgeliefertes Programm, das zur Verwendung der Überwachungskamera über das Internet wiederum nicht zwingend notwendig ist.
Inhaber der Kameras sollten folglich in jedem Fall mittels dem mitgelieferten Programm prüfen, ob die Firmware aktuell ist und gegebenenfalls ihre Passwörter für E-Mail, FTP und WLAN ändern, wenn sie von der Sicherheitslücke betroffen waren. Die Nutzung der Kameras über das Internet bleibt - wie bei vielen anderen Modellen - aber ohnehin eine unsichere Angelegenheit. Diese überträgt alle Daten nämlich unverschlüsselt über HTTP, was potenziellen Angreifern als Einfallstor zum Abgreifen von Daten dient.
Kommentare