- Anzeigen -


Sie sind hier: Home » Markt » Tipps & Hinweise

Funktionsreiches Überwachungs-Gerät


Smart Webcam kann zum Ausspionieren von Kindern missbraucht werden
Bedrohung für die Sicherheits- und Privatsphäre



Bitdefenders IoT- & Malware-Forscher haben herausgefunden, dass eine neue und intelligente Netzwerkkamera missbraucht und als ausgeprägtes Spionage-Tool verwendet werden kann. Im Zuge kontinuierlicher Bemühungen, das Bewusstsein für die schwerwiegenden Folgen von vernachlässigten Sicherheitslösungen bei IoT-Geräten zu sensibilisieren, analysieren Bitdefenders Forscher permanent die Sicherheitshaltung verschiedener Gadgets. Für Heimanwender und ihre Netzwerke können solche Geräte eine Bedrohung für die Sicherheits- und Privatsphäre darstellen.

Geräte und Setup
Die analysierte Netzwerkkamera ist ein funktionsreiches Überwachungs-Gerät für Häuser und kleine Unternehmen. Es ist ausgestattet mit einem Bewegungs- & Ton-Erkennungssystem, Zweiwege-Audio, einem eingebauten Mikrofon und Lautsprecher, Schlafliedern für Kinder, Temperatur- und Feuchtigkeitssensoren und einem microSD / SDHC-Kartenslot. Es wird häufig als Hausüberwachungs-System, als Babyfon und Kommunikationsmedium zwischen Eltern und Kindern verwendet.

Das Gerät folgt einem Standardinstallationsprogramm und erzeugt einen Hotspot während der Konfiguration über ein drahtloses Netzwerk. Nach dem Installieren versucht die mobile Anwendung eine Verbindung mit dem Hotspot des Geräts herzustellen. Nachdem sie es erkannt hat, stellt die App automatisch eine Verbindung her. Als Nächstes fordert die App den Benutzer auf, die Anmeldeinformationen seines Heimnetzwerks einzugeben, um diese an das Gerät zu übertragen. Der Smart-Plug verbindet sich mit dem lokalen Netzwerk und der Setup-Vorgang ist abgeschlossen.

Schwachstellen
Während das Gerät in einer kontrollierten Testumgebung überprüft wurde, beobachteten die Bitdefender-Forscher folgende Sicherheitsmängel:
1. Der Hotspot ist offen; Es ist kein Kennwort erforderlich.
2. Netzwerk-Anmeldeinformationen werden in normaler Schrift von der mobilen App an das Gerät gesendet.

Lokale Netzwerk-Anmeldeinformationen, die bei der Konfiguration in normaler Schrift gesendet werden
3. Daten, die zwischen Anwendung, Gerät und Server gesendet werden, sind einfach verschlüsselt, nicht chiffriert.

Mögliche Angriffe
Wenn die mobile App eine Remote-Verbindung außerhalb des lokalen Netzwerks zu dem Gerät herstellt, authentifiziert es sich über einen als Basic Access Authentication bekannten Sicherheitsmechanismus.

Nach heutigen Sicherheitsstandards gilt dies als unsichere Authentifizierungs-Methode, solange es nicht in Verbindung mit einem externen, sicheren System wie SSL verwendet wird. Benutzernamen und Passwörter werden in einem unverschlüsselten Format über die Leitung weitergeleitet, die mit einem Base64-Schema im Transit kodiert ist.

"Base64 ist ein Codierungsschema, welches für die Datensicherheit praktisch nutzlos und reversibel ist.” sagt Radu Basaraba, Malwareforscher bei Bitdefender. Zudem ist die Kommunikation des Geräts mit den Push-Servern HTTPS gesichert, die Authentifizierung des Geräts basiert jedoch ausschließlich auf der MAC-Adresse.

Jedes Mal wenn das Gerät startet, sendet es in regelmäßigen Abständen eine UDP-Nachricht an den Authentifizierungsserver mit Gerätedaten und einer ID-Nummer, die durch die MAC-Adresse und einen 36-stelligen Code wiedergegeben wird. Vertraut der Cloud-Server dem Code jedoch nicht, prüft und verifiziert er die MAC-Adresse des Geräts, um die Authentifizierung durchzuführen.

Folglich hat ein Angreifer die Möglichkeit, sich auf einem anderen Gerät mit derselben MAC-Adresse zu registrieren, um das Original nachzuahmen. Der Server kommuniziert mit dem Gerät, das sich zuletzt registriert hat, selbst wenn es sich um ein betrügerisches Gerät handelt – auch die mobile App verhält sich so. Auf diese Weise können Angreifer das neue Passwort der Webcam erfassen, wenn der Benutzer das alte ändert.

Um den Prozess zu beschleunigen und das Passwort schneller zu ergattern, kann ein Angreifer die Push-Benachrichtigungsfunktion der Kamera nutzen. Benutzer haben die Option, Benachrichtigungen auf ihr Smartphone zu empfangen, besonders Videoalarme, wenn die Kamera ein verdächtiges Geräusch oder Bewegung im Haus feststellt. Öffnet der Nutzer die App zum Anzeigen der Warnungen, authentifiziert sich die App mit dem Gerät mithilfe der Basic Access Authentication und sendet so das neue Passwort unverschlüsselt an die hackergesteuerte Webcam.

Schließlich können Angreifer den Benutzernamen, das Kennwort und die ID eingeben, um die volle Kontrolle über die Webcam des Nutzers mittels der mobilen App zu erhalten.

"Jeder kann die App nutzen, so wie der Benutzer es kann", sagt George Cabau, Antimalware-Forscher. "Das bedeutet, Fremde können Lautsprecher, Mikrofon und Audio einschalten, um mit Kindern zu kommunizieren, während die Eltern nicht da sind. Außerdem können Fremde ungestörten Zugriff auf Echtzeit-Material aus dem Kinderzimmer bekommen. Es handelt sich ganz offensichtlich um ein äußerst invasives Gerät und führt durch die Gefährdung zu schrecklichen Konsequenzen.”

Ein weiterer möglicher Angriffspunkt ist die Befehlseinspeicherung. Ein Angreifer kann eine HTTP-Anforderung ausführen, um eine andere NTP-Serveradresse einzurichten. Da der neue Wert nicht überprüft wird, kann ein böswilliger Befehl eingefügt und automatisch ausgeführt werden, wodurch das Gerät zum Beispiel abstürzt.

"Dies bedeutet, ein Angreifer kann die volle Kontrolle über das Gerät bekommen und es in DDoS-Attacken gegen bestimmte Ziele beteiligen, wie wir es bereits mit dem berüchtigten Mirai Botnet gesehen haben", sagt Basaraba.

Tipps für Anwender
Diese Forschung zeigt, wie die Ausnutzung anfälliger IoT-Geräte schwerwiegende Folgen für die Nutzer haben kann.

Bitdefender rät Heimanwendern:
>>
Führen Sie eine gründliche Recherche vor dem Kauf eines IoT-Geräts für Ihr Haus durch. Online-Rezensionen können Sie zu Datenschutzerklärungen führen, auf die andere Nutzer bereits gestoßen sind.

>> Testen Sie das Gadget, um zu verstehen, wie es funktioniert (wenn möglich). Wie stellt es eine Verbindung zum Internet her? Auf welche Daten kann es zugreifen? Wo sind die Daten gespeichert und unter welchen Umständen? Eine ausführliche Recherche in die Nutzungsweise des neuen Geräts hilft dabei Vorteile und Risiken abzuwägen, wie: Kann dieses Gerät eine Gefährdung für die Privatsphäre darstellen? Kann jemand mit den gesammelten Daten in das Heim WLAN-Netzwerk eindringen, um herumzuschnüffeln und private Gespräche mitzuhören und andere persönliche Informationen zu stehlen?

>> Lesen Sie die Datenschutzerklärung, bevor Sie das Gerät aktivieren und mit dem Internet verbinden.

>> Installieren Sie eine Cyber-Security-Lösung für IoTs. Sie scannt das gesamte Netzwerk und bietet Anti-Phishing-Schutz, Malware-Website-Warnungen, Erkennung und Quarantäne von Malware oder verdächtigen Benutzern.

Zuverlässige Veröffentlichung und Status
Bitdefender hat die gefundenen Schwachstellen entsprechend der Bitdefender-Richtlinie zur Veröffentlichungspolitik an den Hersteller gemeldet. Nach dieser Politik werden zunächst die Anbieter offiziell über die Ergebnisse informiert und angehalten, Fehler in ihren Produkten auszumerzen. 30 Tage nach der Erstberichterstattung werden diese Ergebnisse dann allgemein veröffentlicht.

Die Probleme bestehen auf der neuesten Firmware-Version (2.02) fort, der Hersteller arbeitet jedoch derzeit an einem Update.
Technische Analyse der Bitdefender-Forscher Dragos GAVRILUT, Radu BASARABA und George CABAU.
(Bitdefender: ra)

eingetragen: 18.11.16
Home & Newsletterlauf: 06.12.16


Trend Micro: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Tipps & Hinweise

  • Sicherheitsmaßnahmen gegenüber Bedrohungen

    Steigende Compliance-Anforderungen und europäische Richtlinien wie die DSGVO oder die NIS-Richtlinie für kritische Infrastrukturen haben die Umsetzung von Cybersecurity-Maßnahmen in Unternehmen bereits wesentlich vorangetrieben. Jedoch erfüllen Unternehmen häufig lediglich die Mindestanforderungen - während Angreifer über umfassende und ausgefeilte Möglichkeiten verfügen, sich Zugang zu Unternehmensnetzwerken zu verschaffen. Mittelständische Unternehmen, beispielsweise in der produzierenden Industrie oder im Gesundheitswesen, stehen im Fokus von Hackern: Mittels Ransomware-Angriffen können Cyber-Akteure ganze Produktionsstraßen lahm legen oder Krankenhäuser vom Netz nehmen. Insbesondere in diesen Branchen ist der Schaden nach einer Attacke besonders groß, da sie enorme wirtschaftliche Auswirkungen zur Folge haben und eine Vielzahl von Menschen betreffen. Für Hacker sind zudem vor allem mittelständische Unternehmen interessant, die wirtschaftlich erfolgreich sind, aber gleichzeitig nicht über die gleichen umfassenden Sicherheitsmaßnahmen verfügen wie große, börsennotierte Konzerne.

  • Nahezu kein Expertenwissen mehr benötigt

    Cyberkriminelle greifen mit gefälschten Rechnungen vermehrt Unternehmen des produzierenden Gewerbes in Deutschland an. Das hat Proofpoint herausgefunden. Die Angreifer versenden dabei gefälschte Rechnungen, die als Köder verwendet werden oder aber die E-Mail beinhaltet einen Link zu einer Website, auf der das gefälschte Dokument zum Download zur Verfügung steht. Die Dokumente sind mit dem Remote Access Trojaner NanoCore infiziert. Laut Proofpoint enthalten Anhänge eine komprimierte ausführbare Datei (mit der Erweiterung ".Z"), während bösartige Links den Empfänger veranlassen, die auf onedrive.live.com gehostete Malware herunterzuladen.

  • Fünf Sofortmaßnahmen zur Systemhärtung

    Guardicore gibt Sicherheitsempfehlungen für das Support-Ende von Windows Server R2, Windows Server 2008 und Windows 7. Ab 14. Januar 2020 werden Nutzer dieser Microsoft-Betriebssysteme keine kostenlosen Sicherheitsupdates und Online-Aktualisierungen mehr erhalten. Ohne sicherheitsrelevante Updates sind die betroffenen IT-Systeme gegen neu entdeckte Schwachstellen nicht mehr geschützt. Zwar sind die genannten Betriebssysteme teilweise bereits über ein Jahrzehnt alt, aber Schätzungen zufolge ist allein Windows Server 2008/2008 R2 immer noch auf fast jedem dritten Server weltweit im Betrieb. Viele Organisationen können nicht auf aktuelle Betriebssystemversionen wechseln, weil sie komplizierten Gesetzes- und Zertifizierungsanforderungen unterliegen, oder einfach nicht das erforderliche Budget zur Verfügung haben. Gefragt sind deshalb Überbrückungslösungen - auch um zeitaufwendige Migrationsprozesse begleiten zu können.

  • Abfangen und Manipulieren von E-Mails

    Die E-Mail ist das Kommunikationsmittel Nummer eins. Unternehmen sind in der Pflicht, sich mit der E-Mail-Sicherheit zu beschäftigen, kommunizieren sie doch sowohl intern als auch extern. Nahezu täglich ist von Datenpannen und Datendiebstählen zu hören: Fremde verschaffen sich - zum Teil leider kinderleicht - Zugang zum internen Unternehmenssystem und greifen Daten ab oder manipulieren diese. Einfache, unverschlüsselte E-Mails stellen deshalb grundsätzlich eine Gefahr dar: Sie ähneln einer Postkarte, deren Inhalt jeder lesen kann. "Denn gehen E-Mails weder digital signiert noch verschlüsselt auf die Reise, können die Inhalte nicht nur ausspioniert, sondern auch manipuliert werden. Da Angriffe dieser Art in aller Regel nicht sicht- und nachweisbar sind, wird die E-Mail-Sicherheit leider nach wie vor oft stiefmütterlich behandelt. Wie oft und von wem E-Mails gelesen werden, kann ihnen niemand ansehen", warnt Patrycja Tulinska, Geschäftsführerin der PSW Group.

  • Neuer Standort und neue BC/DR-Strategie?

    Die Entfernung zwischen georedundanten Rechenzentren soll mindestens 200km betragen. So empfiehlt es das BSI seit diesem Jahr. Dies stellt viele Unternehmen vor Probleme, betrug die bisher empfohlene Distanz in der Vergangenheit doch gerade einmal fünf Kilometer. Diese geringe Distanz erlaubte es den Betreibern bisher, ihre Rechenzentren über HA-Systeme synchron zu spiegeln. Dies ist bei einem Abstand von 200km jedoch nicht mehr möglich: Die Latenz zwischen den Standorten ist einfach zu hoch, um Organisationen mit traditionellen Hochverfügbarkeits- und Backup-Lösungen gegen Systemausfälle zu schützen. Was können Unternehmen nun tun, um ihre IT etwa gegen logische Fehler oder Ransomware-Attacken abzusichern, um minimalen Datenverlust und kurze Ausfallzeiten zu garantieren? Der neue Mindestabstand, den das BSI (Bundesamt für Sicherheit in der Informationstechnik) seit Dezember 2018 zwischen sich Georedundanz gebenden Rechenzentren empfiehlt, stellt in vieler Hinsicht eine Zäsur dar. Er stellt die Nutzung synchroner Spiegelung grundsätzlich infrage und hat damit einen direkten Einfluss darauf, wie Rechenzentren hierzulande betrieben werden. Wer eine "kritische Infrastruktur" betreibt, wird vom Gesetzgeber sogar dazu gezwungen der Empfehlung zu folgen. Und wer das Pech hat Teil eines Branchenverbandes zu sein, der den Empfehlungen des BSI folgt, wie etwa Mitglieder der Bankenbranche Bafin, haben ebenfalls keine Wahl. All diese Organisationen müssen auf die Entscheidung reagieren und den Abstand ihrer Rechenzentren auf mindestens 200km bringen.