D-Link: Cloud-Kamera DCS-2132L mit teils unverschlüsselter Datenübertragung
Sicherheitssoftware-Hersteller ESET hat 2018 Schwachstellen in der Wireless Cloud-Kamera DCS-2132L entdeckt. Einige wurden noch immer nicht behoben.
(Bild: geralt)
Der Sicherheitssoftware-Anbieter ESET hat Sicherheitslücken in der Firmware der Wireless-Cloud-Kamera DCS-2132L sowie im Webbrowser-Plugin "mydlink services" des Herstellers D-Link gefunden.
Laut einer von ESET am heutigen Donnerstag veröffentlichten Beschreibung könnten entfernte, versierte Angreifer die bislang ungepatchte Firmware-Lücke ausnutzen, um im Zuge von Man-in-the-Middle-Angriffen von der Kamera aufgezeichnete Audio- und Videodaten abzugreifen. Des Weiteren sei es – allerdings mit einigem Aufwand – möglich, die Firmware auf dem Gerät etwa mit einer Schadcode-verseuchten Version zu überschreiben.
Die IP-Überwachungskamera wird laut Hersteller-Webseite nicht mehr produziert, ist jedoch noch immer auf zahlreichen Handelsplattformen zum Kauf verfügbar und soll auch weiterhin Updates erhalten. Allerdings weist ESET darauf hin, dass die letzte verfügbare Firmware-Version von November 2016 stammt.
Die Lücke im mydlink-services-Plug-In wurde bereits vergangenes Jahr geschlossen. Sie ermöglichte (lokalen) Angreifern mit Verbindung zu localhost ohne vorherige Authentifizierung das Fernsteuern der Cloud-Kamera sowie das Manipulieren und Überschreiben der Geräte-Firmware. ESET betont, dass das Team lediglich Webbrowser-Plug-Ins, nicht aber die mydllink Services für mobile Geräte auf Sicherheitslücken getestet habe.
Fehlende Verschlüsselung und kaputter Firmware-Code
Die von ESET geschilderten Sicherheitsprobleme basieren auf zwei Faktoren. Der erste besteht in unzureichenden Verschlüsselungsmechanismen des D-Link-eigenen Tunneling-Protokolls für die Datenübertragung zwischen der zur Gerätesteuerung verwendeten Viewer-App, der Kamera sowie der Cloud. Beim zweiten handelt es sich um einen Programmierfehler in der Implementierung von HTTP-Requests in der Kamera-Firmware.
Dem ESET-Team gelang es nach eigenen Angaben im Zuge eines Man-in-the-Middle (MitM)-Angriffs auf die Cloud-Kamera DCS-2132L, Audio- und Videodaten abzufangen und diese anschließend wieder zu vollständigen Streams zusammenzusetzen. Ein Angreifer müsste hierzu allerdings einigen Aufwand betreiben: Die Rohdaten (M-JPEG und H.264) müssen zunächst im Traffic als solche identifiziert, dann aus Datenblöcken extrahiert und vor dem Abspielen wieder zusammengesetzt werden. Diese Aufgabe lasse sich allerdings mittels eines Skripts automatisieren.
(Bild: ESET/welivesecurity.com)
Sehr vage lesen sich ESETs Ausführungen bezüglich möglicher Firmware-Manipulationen über das sicherheitsanfällige Protokoll. Auch diese seien "nicht trivial". Allerdings gäbe es keinerlei Mechanismen zur Authentifizierung einer Firmware-Binary während des Uploads auf die Kamera, was das Einschleusen von Schadcode, Backdoors und Co. erleichtern könnte.
Protokoll noch immer löcherig
Nach eigenen Angaben hat ESET D-Link bereits am 22. August 2018 über "unverschlüsselte Cloud-Kommunikation, unzureichende Cloud-Nachrichtenauthentifizierung und unverschlüsselte LAN-Kommunikation" informiert. Der Hersteller habe – zumindest in Bezug auf mydlink services – prompt reagiert und das Plug-In abgesichert.
Laut ESET besteht die Problematik des teils unverschlüsselt übertragenen Traffics via D-Link-spezifischem Tunneling-Protokoll allerdings weiterhin. Das Unternehmen rät Besitzern trotz aktualisierter mydlink-Version dazu, im Zweifel auf den Fernzugriff zu verzichten.
D-Link plant Update-Veröffentlichung
heise Security hat D-Link um eine Stellungnahme gebeten. Der Hersteller ließ daraufhin verlauten, dass er den Vorfall untersuche und Updates bereitstellen wolle, sobald die Analysen abgeschlossen seien. Kunden sollen demnach auf der Webseite des Herstellers nach Aktualisierungen Ausschau halten.
Ob der Hersteller auch plant, am Tunneling-Protokoll nachzubessern, ist derzeit noch nicht bekannt. (ovw)
