SKD-Ausfall gefährdet IoT-Kameras und -Geräte

Eine Schwachstelle in einem Software Development Kit (SDK), das von Herstellern von Sicherheitskameras verwendet wird, könnte Hackern den Zugriff aus der Ferne auf aufgenommene Bilder ermöglichen. Forscher von Nozomi Networks, einem Cybersecurity-Unternehmen für den Industrie- und Internet der Dinge (IoT)-Sektor, haben entdeckt, dass die Schwachstelle das P2P-SDK betrifft, das von ThroughTek für viele OEMs bereitgestellt wird, die Sicherheitskameras und andere IoT-Geräte produzieren.

Im Kontext von Sicherheitskameras bezieht sich P2P auf eine Funktion, die den Zugriff auf Audio- und Videostreams über das Internet ermöglicht. Nozomi Networks entdeckte die Schwachstelle im März 2021 und meldete sie an ThroughTek, die das Problem umgehend bestätigten.

Nozomi Networks zufolge benachrichtigte ThroughTek die Kunden und kündigte an, die Schwachstelle mittels einer “DTLS-basierten ECDSA-PSK-Verschlüsselungsschicht” zu patchen. Auf einer Webseite von ThroughTek vom Juni 2021, die sich mit der SDK-Schwachstelle befasst, wird empfohlen, die Sicherheitsfunktion zu aktivieren oder auf die aktuellste Version zu aktualisieren. Auch die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) gab eine Warnung hinsichtlich der Schwachstelle heraus und riet OEMs dazu, Schritte einzuleiten, um die Ausnutzung ihrer Geräte zu verhindern.

Da die P2P-Bibliothek von ThroughTek bei mehreren Anbietern in vielen verschiedenen Geräte verwendet wird, ist es nahezu unmöglich, die betroffenen Produkte zurückzuverfolgen.

Die Forscher von Nozomi Networks warnen, dass am besten verhindert werden kann, dass die von den Kameras aufgenommenen Inhalte von Fremden über das Internet eingesehen werden können, indem die P2P-Funktionalität deaktiviert wird. Diese Funktion sollte nur in Einzelfällen aktiviert werden und wenn der Hersteller garantiert, dass die von seinen Produkten verwendeten Algorithmen sicher sind. Leider haben die wenigsten Benutzer die Fähigkeiten oder die Neigung dazu, das zu hinterfragen.

Man sollte die Lektion im Hinterkopf behalten, die der SolarWinds-Fall über Angriffe vom Typ “Supply Chain” gelehrt hat, die einen bestimmten Prozess angreifen und in der Folge Probleme über mehrere Branchen hinweg verbreiten. Dies kann beispielsweise ebenso mit anfälligen Überwachungskameras geschehen. Ein Beispiel ist der kürzlich aufgetretene Vorfall, der das Unternehmen Verkada betraf. Das Unternehmen bietet Sicherheitsdienste an, die mit dem Internet verbundene Kameras und Cloud-Plattformen zur gemeinsamen Nutzung von Videos nutzen. Der Vorfall führte zur Veröffentlichung von Live-Feeds von 150.000 Überwachungskameras in Krankenhäusern, Polizeidienststellen, Gefängnissen und Schulen. Auch der Autohersteller Tesla und das Softwareunternehmen Cloudflare zählten zu den Betroffenen.

Beobachten, wer beobachtet

Lösungen zur Überwachung stellen den größten Technologiebereich im Bereich der Smart Cities dar. Dazu gehören auch IP-Kameras, die mit dem Internet verbunden sind. Dennoch scheinen diese nicht genug Aufmerksamkeit zu bekommen, wenn es um die Cybersicherheit geht. Es ist bereits einige Jahre her, dass der Mirai-Botnet-Vorfall im Jahr 2016 große DNS-Server und damit große Websites in den USA und Europa zum Absturz brachte – ausgehend von IoT-Geräten wie Kameras und DVR-Playern.

Die Verantwortung für die Nachlässigkeit in Bezug auf die Sicherheit von IP-Kameras liegt sicherlich teilweise bei den Herstellern, OEMs und SDK-Entwicklern wie ThroughTek, aber auch die Nutzer sind ein wichtiger Bestandteil im Management der Cybersicherheit, insbesondere wenn es um Passwörter geht. Viele behalten die Passwörter, mit denen die Geräte aus der Fabrik kommen, einfach bei. In dieser Hinsicht könnten die Hersteller zusammenarbeiten und die Benutzer dazu zwingen, die Passwörter gleich nach der Installation zu ändern. Vielleicht tun sie das nicht, um eine erhöhte Anrufzahl beim technischen Support zu vermeiden.

Eine Möglichkeit, etwas an dieser Situation zu ändern, wäre, dass Verbraucher bei der Kaufentscheidung die Sicherheit zu den relevanten Faktoren zählen statt nur auf Preis und Leistung zu achten. Zugegebenermaßen handelt es sich bei der Überprüfung, ob eine Kamera sicherer ist als eine andere, für Durchschnittsverbraucher ohne technisches Wissen um keine einfache Aufgabe. Allerdings werden heute – im Gegensatz zum Jahr 2016 zur Zeit des Mirai-Angriffs – deutlich mehr Produktbewertungen im Internet veröffentlicht. IP-Kameras sollten jedenfalls wie jedes andere Gerät betrachtet werden, das mit dem Internet verbunden und dadurch anfällig für Cyberangriffe ist. Auch für diese Produkte sollten Updates und Patches zur Verfügung stehen, wenn Schwachstellen bekannt werden.

Neben Hackerangriffen können mit dem Internet verbundene Kameras auch ausgenutzt werden, um in die Privatsphäre von Personen oder Unternehmen einzudringen. In der IoT-Suchmaschine Shodan.io können Sie nach bekannten Kameranamen suchen und finden dann unter anderem Bilder von Innenstädten und Produktionsräumen – ein Zeichen dafür, dass die Privatsphäre nicht beachtet wurde.

Vorsicht ist besser als Nachsicht – darum zahlt es sich aus zu wissen, ob Ihre IP-Kameras Schwachstellen haben, damit Sie diese beseitigen können, bevor Hacker darauf aufmerksam werden. Die CVE-Datenbank für Sicherheitslücken kann sehr hilfreich sein, da sie Schwachstellen in allen Arten von IoT-Geräten verfolgt und eine Suche nach Hersteller, Produkt und Version ermöglicht, wodurch spezifische Schwachstellen und deren Schweregrad aufgedeckt werden. Lassen Sie uns loslegen!