Sicherheitslücken in neun Millionen Überwachungskameras aus China entdeckt

Hangzhou Xiongmai Technology heißt eine Firma aus China, die digitale Videorekorder, und Netzwerk-Videorekorder herstellt. Der Name dürfte im ersten Augenblick kaum jemandem etwas sagen, denn es handelt sich dabei um einen sogenannten Originalausrüstungshersteller (Original Equipment Manufacturer, OEM). Über 100 Dritthersteller vertreiben daher unter anderem Namen die Videoüberwachungsprodukte dieser Firma, darunter sind Hersteller wie SecTec, Nextrend, digoo oder A-Zone.

1,3 Millionen Geräte in Europa

Insgesamt sind laut Recherchen der Sicherheitsforscher von SEC Consult rund um Stephan Viehböck rund neun Millionen Überwachungsgeräte betroffen, davon sind mindestens 1,3 Millionen in Europa im Einsatz. Die Sicherheitsforscher haben nun gravierende Sicherheitslücken bei der Cloud-Lösung von Xiongmai festgestellt. Konkret geht es dabei um die „XMeye P2P Cloud“ des Herstellers, die von SEC Consult gescannt wurde.

Über die Cloud-Lösung ist es möglich, sich in die Videoüberwachung von den Geräten einzuklinken und die Benutzer zu beobachten. Geräte, die über eine Gegensprechfunktion verfügen, können auch eingesetzt werden, um mit dem Gegenüber zu kommunizieren. Das erinnert etwa an ein bekanntes Beispiel, das vor einiger Zeit durch die Medien ging. Eine Webcam hatte eine Niederländerin, die damit ihr Haustier beobachten wollte, in ihrem Eigenheim verfolgt und sie plötzlich mit „Hola señorita“ angesprochen.

Doch werden auch in vielen Unternehmen eingesetzt und damit werden zielgerichtete Angriffe zur Wirtschaftsspionage möglich. Ein Angriff kann sich über die Kamera etwa auch Zugriff auf das lokale Netzwerk verschaffen und von dort aus andere Systeme hacken.

Mehrere Security-Probleme

Bei dem Scan der Forscher von SEC Consult wurden mehr als eine Million Geräte in Deutschland entdeckt, in den USA 742.000, und 5,438 Millionen in China. Die Sicherheitsforscher haben in einem „Proof of Concept“ genauer dargestellt, wie es möglich ist, sich über die „XMeye P2P Cloud“-Lösung mit Millionen dieser Geräte zu verbinden, auch dann wenn sich diese in einem internen Netzwerk befinden.

Die Videoüberwachungslösungen werden zudem ohne Standard-Passwort für den Admin-Benutzer ausgeliefert (Benutzername: admin, Passwort: leer). Dieser Nutzer kann Firmware-Updates durchführen oder die Gerätekonfiguration ändern. Das Passwort des „default“-Benutzers ist mit „tluafed“ fix festgelegt. Im Zuge der Inbetriebnahme der Überwachungskamera werden die Nutzer der Kamera nicht aufgefordert, dieses zu ändern.

"Größtes Botnetzwerk der Geschichte"

Weil die Firmware-Updates des Herstellers nicht signiert werden, können Kriminelle, die sich diese Zugangsdaten besorgt haben, eigenen, schadhaften Code auf dem Gerät ausführen und einspielen. Über ein Firmware-Update könnte dieser im gesamten Netzwerk der „XMEye“-Cloud verbreitet werden. Damit könnten praktisch Millionen von Geräten gleichzeitig infiziert werden und das „größte Botnetzwerk der IT-Geschichte“ bilden, warnen die Forscher von SEC Consult in ihrem Blogposting.

Die Überwachungskameras könnten dann, ohne dass ihre Besitzer oder Unternehmen etwas davon ahnen, in sogenannte Botnets integriert werden. Das würde bedeuten, dass diese einem fremden Auftraggeber folgen und dazu genutzt werden, um Spam zu versenden oder andere vernetzte Geräte mit Schadprogrammen zu infizieren oder anderweitig anzugreifen.

Einzige Lösung: Nicht mehr einsetzen

Die Sicherheitsforscher empfehlen daher, sämtliche Xiongmai-Produkte nicht mehr einzusetzen. „Das Ändern des Standardpasswortes reicht in dem Fall nicht aus“, erklärt Johannes Greil, Leiter des SEC Consult Vulnerability Labs, im Gespräch mit der futurezone. „Dazu sind die gefundenen Lücken zu vielfältig und zu tief.“ Der chinesische Hersteller wurde vor sieben Monaten von den Problemen informiert und hat bis zum aktuellen Zeitpunkt keinerlei Update bereitgestellt.

Leider ist es allerdings etwas schwierig, festzustellen, ob seine eigene Überwachungskamera von dem Hersteller Xiongmai stammt, da es sich eben um einen OEM-Hersteller handelt. SEC Consult gibt in ihrem Blogposting eine Anleitung, wie man dies dennoch über Umwege feststellen kann. Es ist dazu etwa notwendig, sich in die Netzwerkgeräte-Maske einzuloggen.