Weiterhin etliche IP-Kameras von Aldi unzureichend geschützt
Nach wie vor ist mindestens eine dreistellige Zahl der bei Aldi verkauften Maginon-Kameras ohne Passwort über das Internet steuerbar. Unterdessen hat sich herausgestellt, dass der Hersteller bereits im Juni 2015 informiert wurde.
- Ronald Eikenberg
Weiterhin ist mindestens eine dreistellige Anzahl der von Aldi verkauften IP-Kameras unzureichend geschützt über das Internet erreichbar. Die vom Hersteller und von Aldi bislang getroffenen Vorkehrungen, um die Kunden über das Sicherheitsproblem zu informieren, reichen offenbar nicht aus. Derweil spitzt sich die Lage für die betroffenen Kunden weiter zu: Ein frei zugängliches Skript spürt Kameras auf, die nicht ausreichend geschützt sind.
Kameras weiterhin erreichbar
Laut Informationen von heise Security kann man weiterhin auf eine große Zahl der bei Aldi und Hofer verkauften IP-Kameras ohne Passwort zugreifen. Es handelt sich allein in Deutschland um eine mindestens dreistellige Anzahl. Unbefugte können nicht nur den Videostream betrachten, sondern sogar den Kamerakopf bewegen und den Ton anzapfen. Ferner verraten die Kameras alle ihr bekannten Zugangsdaten (für WLAN, Mail-Account und FTP) im Klartext.
Der Grund für die Misere ist, dass die Geräte mit äußerst unsicheren Standardeinstellungen verkauft wurden: Sobald die Kameras mit dem Netzwerk verbunden sind, lassen sie sich ohne Passwort über das Internet steuern. Dass kein Passwort voreingestellt ist, wäre für sich genommen kein größeres Problem – allerdings richten sich die Geräte selbständig eine Portfreigabe auf dem Router ein, sodass jeder darauf zugreifen kann. Betroffen sind die Modelle IPC-10 AC, IPC-100 AC und IPC-20 C, die Aldi und Hofer mehrfach im Angebot hatten.
Sicherheitswarnung erreicht nicht alle
Auf unsere Mitte Januar gestellte Anfrage hat der Hersteller bis heute nicht reagiert. Aldi verwies auf die seit Monaten verfügbaren Firmware-Updates, die das Problem lösen sollen. Sie sorgen dafür, dass die Kamera Zugriffsversuche aus dem Internet blockiert, wenn kein Passwort gesetzt ist. Zudem befindet sich im Handbuch der Hinweis, dass man ein Passwort festlegen soll. Darüber hinaus werden die Kunden beim Start des mitgelieferten Windows-Tools und den angebotenen Apps auf das Problem hingewiesen.
Angesichts der großen Zahl an Kameras, die nach wie vor ohne Passwort über das Internet erreichbar sind, scheinen diese Maßnahmen jedoch nicht auszureichen. Das Windows-Programm und die Smartphone-Apps sind für den Betrieb der Kamera nicht notwendig – wer sie nicht nutzt, bekommt folglich auch nicht den Warnhinweis zu Gesicht. Wer lediglich das Web-Interface nutzt, um die Kamera zu steuern, wird nicht über die Verfügbarkeit des Updates informiert. Es besteht ferner keine Möglichkeit, die Aktualität der Firmware über das Web-Interface zu prüfen oder gar ein Update durchzuführen. Der Hersteller hat erst kürzlich einen Sicherheitshinweis auf seiner Webseite veröffentlicht. Auf den Aldi-Seiten findet man hierzu nichts.
Hersteller weiß seit Monaten Bescheid
Nach unserem Mitte Januar veröffentlichten Artikel stellte sich heraus, dass der Hersteller offenbar mindestens seit Juni 2015 über das Problem informiert ist. Zudem haben Sicherheitsexperten wie Marcus Roskosch bereits vor geraumer Zeit öffentlich vor den Risiken gewarnt.
Die zum Zugriff auf die Kameras nötigen Informationen findet man seit Monaten im Netz. Inzwischen kursiert sogar ein Skript, das die unzureichend geschützten Geräte aufspüren kann. Wer eines der betroffenen Kamera-Modelle betreibt, sollte unbedingt sicherstellen, dass ein Passwort gesetzt und die aktuelle Firmware installiert ist. (rei)
