Aktuelles, Branche - geschrieben von cp am Donnerstag, Mai 2, 2019 16:30 - noch keine Kommentare
ESET Sicherheitswarnung: D-Link-Webcam angreifbar
Cyberkriminelle können sich in die unverschlüsselte Übertragung einklinken und die Firmware der „smarten“ Kamera manipulieren
[datensicherheit.de, 02.05.2019] Das Smart Home erobert die Wohnung. Laut des Branchenverbands Bitkom besitzt mindestens jeder vierte eine Smart-Home-Anwendung. Gerade Video-Überwachung zählt hier zu den beliebtesten Anwendungsgebieten. ESET-Forscher haben nach eigenen Angaben schwerwiegende Sicherheitslücken in einer beliebten Cloud-Kamera der Firma D-Link entdeckt. Die „D-Link DCS-2132L“ sendet die Videodaten im „mydlink“-Tunnel unverschlüsselt an das Smartphone des Besitzers. Angreifer können sich so per Man-in-the-middle Attacke in den Videostream einklinken oder diesen manipulieren. Die ESET-Forscher haben D-Link im August 2018 bereits umfangreiches Material über die Schwachstellen zur Verfügung gestellt. Bisher wurden bei diesem Kameramodell aber nicht alle von ESET gemeldeten möglichen Angriffspunkte geschlossen.
„Dieser Fall zeigt einmal mehr, dass Unternehmen bei der Entwicklung neuer Geräte, insbesondere im Smart Home Bereich, höhere Sicherheitsstandards anlegen sollten“, fordert Thomas Uhlemann, ESET Security Specialist. „Im aktuellen Fall raten wir Besitzern dringend, sofort zu prüfen, ob der Port 80 über das Internet erreichbar ist und den Fernzugriff in den Einstellungen zu deaktivieren.“
Angreifer können Videostream abfangen und manipulieren
Besitzer der Kamera haben die Möglichkeit, durch eine spezielle App, zum Beispiel auf ihrem Smartphone, die Kamera aus der Ferne zu nutzen. Leider sind nur Teile des Datenverkehrs verschlüsselt und sensible Bereiche, wie Anfragen zur Kamera IP- und MAC-Adresse, Versionsinformationen, der Video- und Audio-Stream sowie weitere Informationen sind unverschlüsselt einsehbar. Sogar die Firmware der Kamera lässt sich durch die Sicherheitslücken austauschen. Ob das Update der Gerätesoftware legitim ist, wird nicht abgefragt. Daher ist es ohne weites möglich, eine manipulierte Firmware mit Spionagesoftware, Krypto-Miner, Botnetze oder anderen Trojaner zu installieren.
D-Link hat Fehler nur teilweise behoben
Bereits im August des letzten Jahres haben die ESET-Forscher die Sicherheitslücken an D-Link gemeldet. Hierauf hat das Unternehmen umgehend reagiert und die Behebung der Fehler angestoßen. Seitdem wurden zwar einige Probleme behoben, andere sind aber noch immer vorhanden. Noch immer können Angreifer die Audio- und Video-Streams abfangen und die Firmware ersetzen.
Das können Nutzer jetzt tun
- Ports überprüfen: ESET rät Besitzern der Kamera, umgehend zu prüfen, ob der Port 80 über das Internet erreichbar ist. Für diesen Test kann zum Beispiel ein Port Scanner genutzt werden.
- Fernzugriff überdenken: Überwacht die Kamera sensible Bereiche des Haushalts oder Unternehmens? Dann sollten Nutzer umgehend den Fernzugriff deaktivieren.
- UPnP deaktiveren: Universal Plug and Play (UPnP) ist für die reibungslose Kommunikation zwischen den Geräten im Netzwerk zuständig. Wenn diese Funktion nicht erforderlich ist, sollte sie besser ausgestellt werden.
- SicherheitsUpdates installieren: Regelmäßig sollten Anwender die Geräte im Smart Home auf Updates überprüfen und sie umgehend installieren.
- Voreingestellte Passwörter ändern: Viele smarte Geräte verfügen über einen WebLogin. In einigen Fällen besteht der Administrator-Zugang aus simplen Kombinationen wie „admin:admin“ oder „admin:root“. Kriminelle kennen diese „Zugangsdaten“. Anwender sollten daher den Zugang sofort mit einem anderen, starken Passwort oder besser einer Passphrase ändern.
Weitere Informationen zum Thema:
WeLiveSecurity
D-Link Cloud-Kamera angezapft
datensicherheit.de, 26.04.2019
ESET Sicherheitsreport: Bedrohungslage für Unternehmen und Privatanwender auch 2019 hoch
datensicherheit.de, 13.10.2018
ESET: Hacker-Gruppen kooperierten bei Angriff auf Energieversorger
datensicherheit.de, 20.09.2016
photokina 2016: BSI informiert über Sicherheitsmaßnahmen für Kameras
Aktuelles, Experten, Studien - Mai 1, 2025 0:27 - noch keine Kommentare
Chip-Industrie: Silicon Saxony positioniert sich zum Sonderbericht des Europäischen Rechnungshofes
weitere Beiträge in Experten
- DENIC-Generalversammlung 2025: Aufsichtsratsvorsitzender und neues Gesicht ins Gremium gewählt
- eco-Gratulation an Digitalminister – und „Top Five Agenda“ zur Wegleitung
- Bitkom-Glückwünsche an neuen Digitalminister
- E-Rechnungspflicht als Herausforderung: Digitalisierung von Geschäftsprozessen eröffnet neue Angriffsflächen
- Website-Tracking durch Drittdienste: In 185 von 1.000 Fällen Nachbesserung erforderlich
Aktuelles, Experten, Personalien - Mai 1, 2025 0:16 - noch keine Kommentare
DENIC-Generalversammlung 2025: Aufsichtsratsvorsitzender und neues Gesicht ins Gremium gewählt
weitere Beiträge in Branche
- Cyberrisiken im Wassersektor: Modernisierung und Segmentierung bieten Schutz
- 65 Prozent der deutschen Unternehmen erleben Cybersecurity-Vorfälle aufgrund nicht verwalteter Assets
- KI kann Kriminalität revolutionieren: Passfälschung in Minuten
- KI verändert Datenschutz in Europa: Spannungsfeld zwischen Fortschritt und Risiko
- Kritische Geschäftsabläufe: KI-gesteuerte Cyber-Angriffe nehmen zu
Branche, Umfragen - Dez. 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren