Unsichere Babymonitore von Nooie: Fremde könnten Vollzugriff erlangen
Bei der Analyse von zwei Babyphones von Nooie hat Bitdefender Sicherheitslücken entdeckt, durch die Angreifer etwa den Videostream anzapfen könnten.
(Bild: TimmyTimTim/Shutterstock.com)
Bei der Untersuchung von Babyphones der Marke Nooie sind Sicherheitsforscher von Bitdefender auf gravierende Mängel gestoßen. Angreifer könnten nicht nur unbefugt etwa den Videostream abgreifen, sondern direkt auf das Betriebssystem der Kameras zugreifen und dort beliebigen Code ausführen.
Unter der Lupe
Die Nooie-Kameras nutzen das MQTT-Protokoll, um sich beim MQTT-Server zu melden und von dem eine URL zu erhalten, wohin sie den Video-Datenstrom senden sollen. Der MQTT-Server eu.nooie.com erlaubt Zugriff ohne Authentifizierung. Durch eine Subscribe-Anfrage für das Topic /device/init erhält ein Angreifer alle Nutzerkonten- und Kamera-IDs von gerade online gehenden Geräten. Mit weiteren MQTT-Anfragen könnten Angreifer den Kameras einen Server unter ihrer Kontrolle als Ziel für den Videostream übermitteln.
Die Funktion zum Verarbeiten des übermittelten Kommandos in der Kamera kopiert den URL-Parameter in einen Puffer von 32 Byte Größe. Ohne vorherige Längenprüfung des Parameters. Daraus resultiert ein Stack-basierter Pufferüberlauf, durch den eingeschleuster Code zur Ausführung kommen kann. Im Beispiel haben Bitdefenders Analysten einen netcat auf der Kamera lauschen lassen, der zugreifenden Nutzern eine root-Shell bereitstellt.
Weiterhin konnten die Sicherheitsforscher Zugangsdaten zur AWS-Cloud ausspähen, in die die Kameras Aufnahmen hochladen und speichern können. Die Zugangsdaten erlaubten den Zugriff auf das komplette AWS Bucket und nicht nur auf den Bereich der einzelnen Kamera.
Aktueller Status
Betroffen sind mindestens die Kameras PC100A (Nooie Cam 360) Version 1.3.88 und IPC007A-1080P (Nooie Cam Indoor 1080p) mit Firmware 2.1.94, wahrscheinlich aber auch weitere Modelle. Im November 2020 haben die Sicherheitsforscher versucht, mit Nooie Kontakt aufzunehmen. Das klappte nach anfänglichen Schwierigkeiten, jedoch reagierte das Unternehmen nach dem Übersenden von Details und Proof-of-Concept-Code nicht weiter. Auch nicht im Oktober 2021, als die IT-Experten noch mal nachhakten.
Bitdefender gibt in der Sicherheitsmeldung daher ein paar Hinweise, wie man die Geräte zumindest etwas absichern kann, wenn der Hersteller keine Aktualisierungen bereitstellt. Heimanwender sollten stets ein Auge auf ihre Internet-of-Things-Geräte haben und sie so weit es geht vom LAN oder Gastnetz isolieren. Dazu könnten sie etwa eine eigene WLAN-SSID für IoT-Geräte nutzen.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmmung wird hier eine externe Umfrage (Opinary GmbH) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Opinary GmbH) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
Das ist auch für andere Kameras und Internet-of-Things-Geräte eine gute Idee. Viele Geräte kommen derzeit mit einer Firmware auf den Markt, die niemals aktualisiert wird. Die EU schiebt dem ab diesem Monat einen Riegel mit der aktualisierten Funkanlagenrichtlinie vor; Hersteller haben jedoch noch 30 Monate für die Umsetzung Zeit.
(dmk)
