HintertĂĽr in IP-Kameras von TrendNet
Einige IP-Kameras von TrendNet gewähren jedermann Einblick in die zu überwachenden Räumlichkeiten – unabhängig davon, ob ein Zugangspasswort gesetzt ist oder nicht. Es kursieren bereits Listen mit frei zugänglichen Kamera-Streams.
- Ronald Eikenberg
Durch eine Sicherheitslücke in einigen IP-Kameras von TrendNet können neugierige Internetnutzer ohne Authentifizierung auf die Kamera zugreifen, wie der Blogger someLuser von consolecowboys herausgefunden hat. Der Blogger hat die Lücke gefunden, als er die Firmware seiner Kamera des Typs TV-IP110w mit dem Tool binwalk untersuchte.
Es kursieren bereits umfangreiche Listen mit frei zugänglichen Videostreams im Netz. Bei einer Stichprobe konnten wir auf die meisten Kameras problemlos zugreifen und uns Einblick in Büros, Wohn- und Kinderzimmer verschaffen. Der Blogger hat zu Demonstrationszwecken ein Python-Skript gebastelt, das die Kameras mit Hilfe der Server-Suchmaschine Shodan aufspürt. Steuert man eine bestimmte URL des Kamera-Webservers an, öffnet sich direkt der von der Kamera aufgezeichnete Videostream – unabhängig davon, ob man den Zugriff über das Internet mit einem Passwort geschützt hat oder nicht.
TrendNet hat bereits reagiert und bietet in seinem Support-Bereich ein Firmware-Update an, das "verbesserte Sicherheit" bieten soll. Offenbar sind auch zahlreiche andere Modelle betroffen: Nach Angaben des Bloggers hat der Hersteller auch die Firmware der Modelle TV-IP121W, TV-IP252P, TV-IP410WN, TV-IP410, TV-IP121WN und TV-IP110WN aktualisiert. Wer eines der genannten Kameramodelle einsetzt, sollte umgehend das Firmware-Update durchfĂĽhren. (rei)