Fotoklau und Spion-Funktion: Hintertür zu vernetzten Kameras
Schleichen sich Fremde über den integrierten Webserver in eine der neuen smarten Kameras ein, können sie Fotos schießen und diese hochladen. Schöne neue, vernetzte Fotowelt?
Kameras mit integriertem WLAN und einem Webserver sollen das Fotografieren und anschließende Hochladen und Auswerten von Bilddateien komfortabler machen. Allerdings sind die neuen Kameras schlecht vor Angreifern abgesichert. Über manch ein Kommunikationsprotokoll kann die Kamera als Spion missbraucht werden, Bilder können geklaut und manipuliert werden. Das haben zwei Mitarbeiter der Heidelberger Sicherheitsfirma ERNW auf der Sicherheitskonferenz Troopers 13 gezeigt.
Als Beispiel diente Daniel Mende und Pascal Turbing die Canon DSLR EOS-1D X. Canons aktuelles DSLR-Flaggschiff bietet vier Möglichkeiten, mit einem Netzwerk zu kommunizieren: FTP, DLNA (Digital Living Network Alliance), WFT (Wireless File Transmitter) und den "EOS Utility Mode", der zunächst MDNS und dann das PTP/IP-Protokoll nutzt. Für alle Protokolle stellten Mende und Turbing Angriffsszenarien vor.
Werden Fotos etwa direkt an einen FTP-Server geschickt, können Angreifer den unverschlüsselten FTP-Netzwerkverkehr "mithören" und so Anmeldedaten abgreifen. Bei dem auf UPNP-AV basierenden DLNA wird XML über HTTP für den Informationsaustausch genutzt. Die Fotos sind über HTTP abrufbar und dafür ist keine Authentifizierung nötig.
Einen weiteren Angriffsvektor stellt der Wireless File Transmitter (WFT) der Kamera dar. Wenn man diesen mit einem Webbrowser besucht, läuft eine AJAX-Application und die Kamera kann kontrolliert werden – es lassen sich Fotos aufnehmen und herunterladen. Hierfür wird zwar eine Authentifizierung benötigt, die auf dem HTTP-Basic-Auth-Standard basiert. Nach der Authentifizierung wird allerdings eine Session-ID eingesetzt, die nur 4 Byte lang ist und aus HEX-Zeichen besteht. Die 65536 möglichen Session-IDs kann man in wenigen Minuten durchprobieren und der Web-Server steht offen.
Zuletzt ist auch noch der so genannte "EOS Utility Mode" angreifbar. Er sorgt dafür, dass sich die Kamera mit Canon Software verbinden kann. Dafür wird erst MDNS genutzt, um die Kamera zu finden, dann kommuniziert der Utility Mode über das PTP/IP-Protokoll (Picture Transfer Protocoll over Internet Protocol), um eine Verbindung zu bekommen und Anmeldeinformationen auszutauschen. Auch hier soll es Mende und Turbing gelungen sein, die Authentifizierung zu umgehen.
Wie Mende in einem Blogpost ankündigt, werde das Team bald mehr zu den Angriffsmöglichkeiten auf Kameras mit Netzwerkfunktionen veröffentlichen. Für die Hersteller der vernetzten Kameras dürfte nun wohl eine turbulente Zeit beginnen. Für Eigentümer ist es wohl keine gute Idee, sich mal eben mit einem fremden WLAN zu verbinden.
[Update 18.03.2013 13:00Uhr] Von Haus aus kann die EOS-1D X nur via Ethernet ins Netz. Erst mit einem WFT-E6 Wireless File Transmitter wird sie WLAN-fähig. (kbe)
