Black Hat: Zehntausende offene Webcams im Netz

In der Firmware zahlreicher Webcams lauern außerordentlich viele Bugs. Sie erlauben die volle Kontrolle von Cams der Hersteller D-Link, Cisco, Trendnet, IQInvision und 3SVision. Updates stehen bereit, werden aber offensichtlich nicht installiert.

In Pocket speichern vorlesen Druckansicht 48 Kommentare lesen
Lesezeit: 3 Min.
Von
  • Uli Ries

Sicherheitsforscher Craig Heffner hatte sichtlich Spaß, als er am letzten Tag der Sicherheitskonferenz Black Hat im Eiltempo eine Firmwarelücke in Webcams nach der anderen beschrieb. Der Vielfalt an Fehlern, die sich die Hersteller zuschreiben lassen müssen, reicht von nicht gesicherten, kritischen Ordnern im Dateisystem der Kameras über fest einprogrammierte Admin-Kennwörter bis hin zum Einschleusen von Befehlen an verschiedenen Stellen. Laut Heffner haben die meisten Hersteller die gemeldeten Lücken in neuen Firmware-Versionen bereits behoben. Nachdem Anwender aber offensichtlich selten oder gar nicht patchen, bleiben die Lücken weiter offen.

Die Kameras sind teilweise sogar in sensiblen Bereichen angebracht wie Kassenzonen, Industrieanlagen, Serverräumen, Werkstoren oder Produktionsstätten, deren Bilder an sich nicht in die Öffentlichkeit gehören. Außerdem stellt eine Webcam, die ein Fremder mit root-Rechten fernsteuert, ein Linux-basiertes Sprungbrett ins Intranet des Anwenders dar.

Im Fall von verschiedenen D-Link- und Trendnet-Modellen – der problematische Teil des Sourcecodes wird für verschiedenste Kameras verwendet – ist der Verursacher beispielsweise ein über das Internet zugängliches Shell-Skript zur Kontrolle des RTP-Deamons. Ein beliebiger, an die URL zum Aufruf der Datei eingefügter Query-String wird klaglos von der Kamera ausgeführt, sodass sich problemlos die Anmeldedaten das Kamera-Administrators auslesen lassen. Eine entsprechende Shodan-Suche fördert knapp 70.000 solcher frei zugänglicher Kameras zu Tage. Das heißt, jeder, der die Schwachstelle kennt, wird binnen Sekunden zum Admin.

Auch Cisco schützte relevante Teile des Filesystems beim Mittelklasse-Modell PVC-2300 nicht ordentlich. So kann ein Angreifer Zugriff auf eine Datei erlangen, die für das Hochladen und Installieren neuer Firmwareversionen zuständig ist. Nicht genug, dass sich auf diesem Weg die Konfigurationsdatei samt Admin-Passwort auslesen lässt. Die Updatefunktion akzeptiert anstatt einer Datei auch eine URL, sodass sich beliebige Kommandos an die Kamera aus der Ferne absetzen lassen.

Unsicher ab Werk sind überdies die über 1000 US-Dollar teuren Modelle IQInvision IQ832n: In der Werkseinstellung kann jeder, der die IP-Adresse der Kamera kennt oder findet, auf den Videostrom zugreifen. Ohne Passwort. Ein Administrator muss diese Voreinstellung ändern, was laut Heffner kaum vorkommt. Darüber hinaus hat der Firmware-Fachmann noch echte Schwachstellen entdeckt. Beispielsweise eine Command-Injection-Lücke durch deren Missbrauch sich die Passwortdatei mit dem Admin-Passwort auslesen lässt. Kameras dieses Herstellers finden sich dem Hacker zufolge in Krankenhäusern und zahlreichen DHL-Niederlassungen.

Ein besonderes Missbrauchsszenario demonstrierte Craig Heffner am Modell Trendnet TV-IP410wn: Über eine Command Injection beendete der Hacker aus der Ferne den Prozess, der für das Streamen des Videobildes verantwortlich ist. Gleichzeitig lädt er ein Standbild des überwachten Raums oder Objekts auf die Kamera und zeigt es statt des Live-Bildes. Damit werden Angriffe möglich, wie sie aus Action-Filmen bekannt sind, bei denen Einbrecher der Wachmannschaft einen leeren Raum vorgaukeln. (kbe)