[English]Sicherheitskameras mit Schwachstellen stellen ein Risiko für ihre Besitzer dar. Das Gleiche gilt für Webcams, die oft von Angreifern übernommen werden können. Kameras und NVR (Network Video Recorder) des Herstellers Hikvision weisen Schwachstellen auf, die von Angreifern ausgenutzt werden können. Auch Wyze Webcams sind letztens aufgefallen, weil Dritte Videostreams abrufen konnten. Ich fasse mal einige Punkte in einem Sammelbeitrag zusammen.
Anzeige
Offene Sicherheitskameras als Risiko
Videokameras, die nicht ordentlich abgesichert sind, stellen ein Risiko für deren Betreiber vor. Mir liegt bereits seit Mitte Sept. 2023 ein Bericht des Cybernews-Teams vor, demzufolge weltweit Tausende IP-Kameras von ihren Besitzern ungeschützt im Web betrieben von Dritten einfach so übernommen werden können. Die meisten dieser gefährdeten Kameras wurden in Taiwan, Vietnam, Südkorea, Russland und im Iran gefunden.
Laut der Suchmaschine Shodan sind weltweit mindestens 8.373 RTSP-Kameras (Real-Time Streaming Protocol) offen zugänglich. Jeder könnte sogar die letzten gespeicherten Screenshots dessen finden, was die Kameras sehen, so die Cybernews-Rechercheure. Einige Kameras konnten sogar über Google gefunden werden, indem Teile von Standard-URLs durchsucht wurden, die üblicherweise von Kameraherstellern verwendet werden.
- Auf schlecht geschützte RTSP-Kameras kann jeder zugreifen, der über die entsprechende URL oder Software verfügt.
- Ungeschützte Kameras zeichnen möglicherweise sensible oder private Informationen auf, die durch Dritte einsehbar sind.
- Der Zugriff auf RTSP-Streams von Sicherheitskameras könnte für böswillige Zwecke, z. B. zur Verfolgung von Personenbewegungen, zur Überwachung von Routinen, zur Planung von Einbrüchen oder für andere kriminelle Aktivitäten, genutzt werden.
- Die Ausnutzung einer ungeschützten Kamera könnte Angreifern ein Standbein im Netzwerk verschaffen, um weitere Angriffe zu starten oder Zugriff auf andere Geräte zu erhalten, die mit demselben Netzwerk verbunden sind.
- Die unkontrollierte Offenlegung von RTSP-Kamerafeeds kann zu rechtlichen und ethischen Dilemmata führen.
- Ungeschützte RTSP-Kameras können Initiativen für die öffentliche Sicherheit gefährden, indem sie unbefugten Zugriff auf Video-Feeds ermöglichen.
"Die Bedeutung offen zugreifbarer RTSP-Kameras geht über technische Schwachstellen hinaus und berührt grundlegende Prinzipien der Privatsphäre, Sicherheit, Ethik und des Vertrauens. Die Auseinandersetzung mit diesem Problem ist nicht nur für den Schutz digitaler Werte, sondern auch für die Wahrung der Rechte und Werte, die die Grundlage der modernen Gesellschaft bilden, von wesentlicher Bedeutung", so die Forscher. Der Bericht ist in einer im November 2023 aktualisierten Fassung hier abrufbar – und zeigt, dass auch Deutschland auf der Karte mit offenen Kameras "rot" auftaucht.
Wyze-Webcams als Sicherheitsrisiko
Der Anbieter Wyze ist mir als Anbieter von Webcams in Erinnerung, fallen die Produkte doch immer wegen Sicherheitsmängeln auf. 2019 hatte ich den Beitrag IoT-Anbieter Wyze gesteht Datenleck ein hier im Blog und 2022 ging es im Beitrag Sicherheitslücken in der Wyze Cam IoT-Kamera-Firmware (März 2022) um eine weitere Schwachstelle.
Anzeige
The Verge hatte bereits im September 2019 in diesem Artikel angerissen, dass einzelne Kameramodelle von Wyze unsicher seien. Die Wyze Cam v3 wird auch auf den deutschen Amazon-Seiten für um die 100 Euro (als Amazon Tipp) als "Wyze Cam v3 1080p HD IndWyze Cam v3 1080p HD Innen-/Außen-Videokamera mit Farb-Nachtsicht, 2-Wege-Audio, funktioniert mit Alexa & dem Google Assistant und IFTTT" gehandelt. Im Beitrag RCE-Exploit für Wyze Cam v3 veröffentlicht (Nov. 2023) hatte ich darauf hingewiesen, dass inzwischen ein Exploit für die Ausnutzung der Schwachstellen von Wyze-Kameras öffentlich gegangen ist. Wer eine solche Kamera verwendet, sollte also sicherstellen, dass diese per Firmware abgesichert oder nicht per Internet erreichbar ist.
Hikvision-Kameras und NVR mit Sicherheitslücke
Auch der chinesische Hersteller Hikvision fällt immer mal wieder mit Schwachstellen oder Problemen auf (siehe Über 80.000 HikVision Überwachungskameras online übernehmbar). Aktuell gibt es erneut eine Schwachstelle CVE-2023-48121, die der Hersteller in diesem Sicherheitshinweis angesprochen hat. Eine Schwachstelle in der Authentifizierungsumgehung des Hik-Connect-Moduls bedroht einige Hikvision-Produkte. Die mit einem CVSSv3-Wert von 8.2 (max. ist 10) versehene Schwachstelle ermöglicht es Angreifern Dienste zu nutzen, indem sie manipulierte Nachrichten an die betroffenen Geräte senden.
Eine Liste der betroffenen Produkte ist dem Hikvision-Sicherheitshinweis zu entnehmen. Ein Firmware-Update steht zur Verfügung. heise weist in diesem Artikel (danke an den Leser für den Hinweis) darauf hin, dass Hikvision-Kameras und NVR (Video-Recorder) auch von weiteren Herstellern unter eigenem Label vertrieben werden. heise hat auch diesen Beitrag des Schwachstellen-Entdeckers verlinkt, der sich auf Ezviz CS-C6N-Kameras bezieht.
Anzeige
Wer hätte es auch ahnen können dass das Billiggeraffel aus China unsicher sein könnte? Es gibt halt immer das Risiko wenn ein Gerät im Internet hängt dass irgendwann jemand eine Schwachstelle findet.
Dazu kommt ja noch dass die Überwachungskameras oft nicht in internen Netzen verwendet sondern weil die Cloudfunktion oder die Herstellersoftware das so möchte auch Internetzugriff bekommen.
Es ist inzwischen auch schwer, IP-Kameras zu finden, die keinen Internetzugang etc. benötigen.
Oftmals findet man diese Information nicht in der Produktbeschreibung, sondern nur in der Bedienungsanleitung.
"Es ist inzwischen auch schwer…"
Mein Tip: Mit INSTAR Cams (instar.com) hat man alles im Griff.
Für den Remotezugriff über Browser oder App muss man halt eine Portweiter- oder -umleitung auf dem Router erstellen. Für Aufzeichnungen macht man FTP auf eine NAS oder FileZilla. Cloud ist optional/kostenpflichtig.
VG Bernie
Es ist zu nehmend schwer, überhaupt noch technisches Gerät zu finden, das man ohne Cloud Anbindung noch nutzen darf.
Bei einer Kamera wäre es noch nach vollziehbar, denn evtl. möchte ich ja auch aus der Ferne einen Blick auf meine Wohnung werfen können, aber Was soll die Zahnbürste im Web?
Dazu braucht die Kamera aber keinen Internetzugang.
Einfach per VPN ist eigene Netz gehen und da dann auf die Kamera.
Es wird mit dem Cloud- und Internetgedöns immer absurder:
E-Zahnbürsten, Wasserkocher, Heißluftfriteusen, Kaffeemaschinen, etc. all das gibts inzwischen mit Cloudfunktion!
Reolink finde ich auch sehr gut. Cams sichern entweder direkt auf SD-Karte oder auf den NVR den sie auch anbieten. Ist eine Linuxkiste und darauf greifst du per App im lokalen Netz zu. Cloud ist möglich aber nicht nötig.
wer halt nur im billigen China Markt sucht… mag das stimmen. Jeder qualitative Markenhersteller den ich kenne bietet auch "cloudfree" an.
You get what you paid for! (und das ist in der GeizistGeil Welt das Hauptproblem!)
/edit/
Ich will smarthome, ich willSecurity, ich will… (beliebig ergänzen),
nur Kosten darf es nix… Tj da Ergebnis liest man dann eben hier
;-P
ich habe voll smart automatisiertes Haus inkl. Security… da hängt nix in der Cloud, Fernzugriff geht trotzdem, per VPN und ordentlicher Auth. Es geht eben doch! Gibts halt niht für nen apple und nen Ei… Luxus kostet!
Mobotix – die sind aber nicht ganz günstig.
Hikvision und andere Kameras (Reolink, Foscam etc.) funktionieren auch ohne Cloud, einfach mit Portweiterleitung, und dort kann man Cloud-Funktion (P2P, UID, Platformzugriff) komplett ausschalten. Ohne Cloud funktioniert aber nicht, wenn Sie DS-Lite Internetanschluss haben, also ohne öffentlichen IP-Adresse. Hikvision unterstützt aber IPv6, und es funktioniert auch mit DS-Lite. Ich kenne keine andere Kameras/NVRs die IPv6-Unterstützen.
Es geht aber gar nicht um Cloud, sondern um Authentifizierung.