Foscam: IP-Kameras sollen Sicherheitslücken haben

Wieder einmal kommt Foscam in die Negativ-Schlagzeilen. Der chinesische Hersteller von IP-Kameras, die man auch in Deutschland erwerben kann, soll nicht auf Hinweise zu Sicherheitslücken reagieren. Sicherheitsforscher Harri Sintonen von F-Secure hat 18 Schwachstellen in den zwei Modellen Opticam i5 HD und Foscam C2 gefunden, letztere wird auch bei uns in Deutschland angeboten. Die Schwachstellen sollen seit Monaten bekannt sein, laut F-Secure reagiere Foscam nicht auf den Vorfall.

Angreifer können – so F-Secure –  aufgrund der Schwachstellen die Kontrolle über die Kameras übernehmen, auf den Video-Feed zugreifen und Daten auf den integrierten Web-Server hoch- oder von diesem herunterladen. Zusätzlich lässt sich eine verwundbare IP-Kamera für DDoS-Attacken auf andere Geräte oder als Ausgangspunkt für weitere Attacken nutzen.

„Die gefundenen Schwachstellen erlauben Angreifern so ziemlich jede Aktion“, sagt der Entdecker der Sicherheitslücken, Harry Sintonen, Senior Security Consultant bei F-Secure. „Schlimmer geht es nicht. Ein Angreifer kann eine Schwachstelle nach der anderen ausnutzen oder verschiedene Lücken kombinieren um sich weitreichende Rechte im Netzwerk und auf dem Gerät zu verschaffen.“

Insgesamt wurden 18 Schwachstellen in den untersuchten Kameras gefunden, sie bieten Angreifern mehre Zugriffsmöglichkeiten. So erlauben etwa unsichere, fest hinterlegte Zugangsdaten einen einfachen administrativen Zugriff. Die Software auf den Geräten erlaubt den Zugriff auf kritische Daten und Verzeichnisse ohne Überprüfung der Nutzerberechtigungen.

Dadurch können Angreifer Kommandos einspeisen, Passwörter per Brute-Force-Angriff knacken oder Attacken wie Cross-Site- Scripting und Buffer Overflow durchführen. Können sie sich einen Root-Zugriff verschaffen, haben sie die volle Kontrolle über das Gerät und können es als Ausganspunkt für Attacken auf andere Netzwerkkomponenten nutzen.

„Die Sicherheit wurde bei diesen Produkten komplett ignoriert“, so Sintonen. „Augenscheinlich ging es dem Hersteller nur darum, das Gerät schnell fertigzustellen und auf den Markt zu werfen. Gängige Sicherheitspraktiken wurden links liegen gelassen, das gefährdet Nutzer und Netzwerke. Ironischerweise sollen diese Kameras mehr Sicherheit zu Hause bieten – während sie gleichzeitig das virtuelle Heim unsicherer machen.“

Sintonen empfiehlt, die Geräte in einem separaten Netzwerksegment zu betreiben um die Auswirkungen bei einem erfolgreichen Angriff so gering wie möglich zu halten.

Einen genauen Report zu den Sicherheitslücken wird F-Secure heute veröffentlichen.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Avatar-Foto

Hallo, ich bin Carsten! Ich bin gelernter IT-Systemelektroniker und habe das Blog 2005 gegründet. Baujahr 1977, Dortmunder im Norden, BVB-Fan und Vater eines Sohnes. Auch zu finden bei X, Threads, Facebook, LinkedIn und Instagram.

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

7 Kommentare

  1. Foscam und Derivate sollte man grundsätzlich in der Firewall des Router komplett für den Internet-Verkehr blocken und wenn überhaupt nur über einigermaßen sichere Drittlösungen wie z.B. Synology Surveillance Station nach außen freigeben.

  2. @Samsono39: Das ist hier was Neues 😉

  3. Samsono39 says:

    @Caschy,

    ich wollte damit schreiben: Die Fa. hat von Sicherheit keine Ahnung.
    Wer seinen WLAN-Schlüssel bei einem China-Server hinterlegen möchte… 😉

  4. Für die Kameras die IP Adressen im Netz statisch vergeben, kein Gateway eintragen und zusätzlich die entsprechenden IP Adressen im Router für I-net Kommunikation sperren (falls keine richtige Firewall zur Hand).
    Um von „draussen“ auf die Kameras zu schauen, kann immer noch eine VPN Verbindung zum Heimrouter eingerichtet werden und wenn irgendwo im Heimnetz ein Motioneye installiert ist (auf einem Raspi zB) kann wunderbar ein Livebild in einem beliebigen Webbrowser betrachtet werden…..

  5. Bartenwetzer says:

    Warum werden die Dinger nicht aus dem Verkauf entfernt, alle Betroffenen seitens der Firmen informiert die dieses als Auflage von der Bundesnetzagentur und BSI als Auflage erhalten?

    Sonst kann man doch jeden Mist zwangsweise zurückrufen wenn es gefährlich ist.

  6. Internetfähige Devices sind ALLE potenzielle Zeitbomben. Solche Geräte darf man einfach nicht ans Internet hängen. Alle schön im DMZ horten und per VPN darauf zugreifen. Alles andere ist irre.

  7. Viel interessanter wäre ja die Frage, welche Kameras dieser Art könnte man denn kaufen, bei denen der Hersteller doch mal 5€ in die Sicherheit investiert hat und bei dem der Hersteller sich auch nach dem Verkauf noch kümmert und Sicherheitsupdates nachreicht?

Es werden alle Kommentare moderiert. Lies auch bitte unsere Kommentarregeln:

Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor. In jedes Thema Politik einbringen ist nicht erwünscht.

Du willst nichts verpassen?

Du hast die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren.