Schwachstellen in P2P-Komponente: Zwei Millionen IoT-Geräte angreifbar

Angreifer könnten sich Fernzugriff auf IP-Kameras, smarte Türklingeln und Co. verschaffen. Ein Forscher rät zum Wegwerfen, nennt aber auch einen Workaround.

In Pocket speichern vorlesen Druckansicht 101 Kommentare lesen
Schwachstellen in Peer-to-Peer-Komponente: Millionen von IoT-Geräten aus der Ferne angreifbar

(Bild: geralt)

Lesezeit: 3 Min.

Der Sicherheitsforscher Paul Marrapese hat zwei Schwachstellen in der Software iLnkP2P entdeckt. Die vom chinesischen Hersteller Shenzhen Yunni Technology Company entwickelte Peer-to-Peer-Komponente wird Marrapeses Angaben zufolge in über zwei Millionen verwundbarer Internet-of-Things (IoT)-Geräte verwendet. Betroffen seien unter anderem Überwachungskameras, smarte Türklingeln und Babyphone.

Eine der Schwachstellen erlaubt es Angreifern, aktive Geräte aufzuspüren und sich ohne Authentifizierung und vorbei an Firewalls direkt mit diesen zu verbinden ( CVE-2019-11219). Die andere ermöglicht das Mitlesen von Netzwerk-Traffic im Zuge von Man-in-the-Middle-Angriffen, um beispielsweise Passwörter zu stehlen (CVE-2019-11220).

Laut Marrapeses Info-Website zu den Schwachstellen nutzen Hunderte von Herstellern die Komponente iLnkP2p. Dazu zählen unter anderem HiChip, TENVIS, SV3C, VStarcam, Wanscam, NEO Coolcam, Sricam, Eye Sight und HVCAM.

Auch IT-Security-Blogger Brian Krebs hat Informationen zur Schwachstelle veröffentlicht. In seinem Blogeintrag findet sich unter anderem auch eine Karte, die die weltweite Verteilung der verwundbaren Geräte zeigen soll.

Ob ein IoT-Gerät anfällig für die Schwachstellen ist, erkennt man im Idealfall an seiner UID (Seriennummer). Solche UIDs haben die Form FFFF-123456-ABCDE9. Marrapese hat eine Tabelle veröffentlicht, mit der Gerätebesitzer den ersten Block ihrer UID ("Präfix"; in unserem Beispiel FFFF) abgleichen können. Im Falle einer Übereinstimmung ist die Wahrscheinlichkeit einer Sicherheitsanfälligkeit hoch.

Eine Übereinstimmung der ersten vier UID-Stellen mit dieser Tabelle offenbart die Schwachstellen im Gerät.

(Bild: P. Marrapese / hacked.camera)

Sollte die Geräte-UID nicht erkennbar sein, können Nutzer auch überprüfen, ob für die Steuerung ihres Geräts bestimmte Android-Apps genutzt werden. Marrapese listet folgende Hersteller nebst korrespondierender App auf und schreibt, dass diese Kombinationen zumindest auf die Schwachstellen hindeuten können:

  • HiChip: CamHi, P2PWIFICAM, iMega Cam, WEBVISION, P2PIPCamHi, IPCAM P
  • VStarcam: Eye4, EyeCloud, VSCAM, PnPCam
  • Wanscam: E View7
  • NEO: P2PIPCAM, COOLCAMOP
  • Sricam: APCamera
  • Verschiedene Hersteller: P2PCam_HD

Marrapese gibt auf seiner Website an, die betroffenen Hersteller bereits Ende Februar informiert, jedoch bis zur Offenlegung (public disclosure) der Schwachstellen am 24. April keine Antwort erhalten zu haben.

In den meisten Fällen handelt es sich um Geräte von asiatischen Billigherstellern, die nicht unbedingt für regelmäßige Sicherheits-Updates bekannt sind. Dementsprechend rät Marrapese zum Kauf eines neuen Gerätes "von einem seriösen Anbieter".

Als vorläufigen Workaround könne man ausgehenden UDP-Traffic an Port 32100 blockieren. Dies unterbinde die P2P-Kommunikation zwischen sicherheitsanfälligen Geräten und externen Netzwerken, während sie zugleich aus dem lokalen Netzwerk erreichbar bleiben. (ovw)