/Tech

Fremdgesteuert: Sicherheitslücke in Millionen IoT-Überwachungskameras

WIRED Staff 20.07.2017

Sicherheitsforscher von Senrio haben eine kritische Lücke in einer Open-Source-Bibliothek für Security-Hardware entdeckt. Darüber lässt sich der Videofeed einer Überwachungskamera fremdsteuern. Unter anderem dürften Millionen Geräte der Firma Axis betroffen sein — von der Flughafenkamera bis hin zum Babyphone.

Die Devil's Ivy genannte Sicherheitslücke findet sich in der Open-Source-Bibliothek des Drittherstellers gSOAP, dessen Angebot von Herstellern wie Axis genutzt wird. Der Fehler im Programm gewährt potenziellen Angreifern die volle Kontrolle über die Kamerafunktionen.

Das Team der Sicherheitsspezialisten von Senrio hatte die Lücke auf einem weit verbreiteten Axis-Modell entdeckt, das besonders in Hochsicherheitsbereichen zum Einsatz kommt. Die Lücke konnte erfolgreich geschlossen werden — Axis beispielsweise hat das Tool aber auf weiteren 248 Modellen seiner IoT-Kameras aufgespielt, weitere Firmen beziehen gSOAP ebenfalls: Wie Engadget berichtet, geht die Zahl der gefährdeten Geräte wohl in die Millionen.

Die Lösung des Problems erweist sich laut Senrio als ausgesprochen schwierig: Neben der schwer einschätzbaren Verbreitung — es könnten bei zig-tausenden Downloads mehrere zehnmillionen Geräte betroffen sein — ist auch die Art der Programmierung vieler Kameras ein Problem. Einmal gehackt, ist nur über komplizierte Reset-Verfahren wieder an die Steuerung der Hardware zu gelangen. Dazu wird die Verbindung vieler Geräte mit dem Internet von den Sicherheitsforschern als äußerst kritisch gesehen.

Senrio empfiehlt drei wichtige Schritte, um besonders Sicherheitshardware vor Angriffen geschützt zu halten: Erstens sollten entsprechende Geräte niemals mit dem offenen Internet verbindbar sein — die Gefahr durch Hackerangriffe sei besonders durch die Devil's-Ivy-Lücke zu groß. Zweitens sollte mit Firewalls und anderen Abwehrtools so viel Sicherheit wie irgend möglich den Kontrollfunktionen von Kameras vorangestellt werden. Drittens sollten die Geräte regelmäßig gepatcht werden, um potenzielle Softwarelücken schließen zu können. Gerade Letzteres wird von Senrio als kritisch hervorgehoben, da die Endkunden oft zu nachlässig mit der Aktualisierung gekaufter Software umgingen.

Jetzt WIRED Member werden und mit uns in die Zukunft starten!

Mit im Paket: 4 Magazin-Ausgaben im Jahr und der Member-Zugang zu exklusiven Inhalten auf WIRED.de sowie weitere Vorteile nur für Member.

Member werden