Millionen smarte Überwachungskameras haben eine kritische Sicherheitslücke, die Cyberkriminellen das Anzapfen der Videofeeds erlaubt. Davor warnte die US-amerikanische Cybersecurity and Infrastructure Agency (CISA) am Dienstag. Der Bug wurde über eine Komponente des Software- und Infrastruktur-Dienstleisters Throughtek eingeschleust, die von mehreren Herstellern verwendet wird. Bisher sind laut der Behörde noch keine Exploits bekannt, die auf die Lücke abzielen.
Potenzielle Gefahren sind jedoch vielseitig. Für Unternehmen könnten abgefangene Videodateien die Offenlegung sensibler Geschäftsdaten, Produktionsgeheimnissen oder Informationen über Mitarbeiter bedeuten, berichtet "Threatpost". Für Privatanwender handelt es sich bei einem erfolgreichen Angriff hingegen um einen massiven Bruch der Privatsphäre.
Mangelhafte Verschlüsselung
Verwundbar ist das System aufgrund eines Peer-to-Peer-Software-Development-Kits, das laut Throughtek auf mehreren Millionen smarten Geräten installiert wurde. Dieses dient dem Fernzugriff auf Audio- und Videostreams über das Internet: "Eine Besonderheit von P2P-SDKs (...) ist, dass Hersteller nicht nur eine P2P-Software-Bibliothek lizensieren", schreiben Analysten von Nozomi Networks, die die Sicherheitslücke entdeckt hatten, am Dienstag. "Sie erhalten auch Infrastrukturdienste (den Offsite-P2P-Server) für die Authentifizierung von Clients und Servern und für die Handhabung des Audio- und Videostreams."
Im Rahmen einer Analyse stellte Nozomi fest, dass die Datenübertragung zwischen lokalen Geräten und den Servern keinen sicheren Schlüsselaustausch aufwies. Stattdessen beruhte dieser laut den Analysten auf einem Verschleierungsschema und einem fixen Key. Deshalb sei es Angreifern möglich, Video- und Audiostreams zu rekonstruieren. Throughtek selbst listet als weitere Gefahren des Lecks außerdem Device-Spoofing und Device-Certificate-Highjacking.
Vertrauen in Hersteller
Throughtek schloss die Sicherheitslücke zwar bereits in einer neuen Firmware-Version, Endnutzer müssen sich jetzt allerdings darauf verlassen, dass Hersteller dieses Update auch ausliefern. Es sei allerdings nicht bekannt, mit welchen Unternehmen die Firma eigentlich zusammenarbeitet: "Da die P2P-Bibliothek von Throughtek im Laufe der Jahre von mehreren Anbietern in viele verschiedene Geräte integriert wurde, ist es von außen praktisch unmöglich, betroffene Produkte aufzuspüren", erklären die Nozomi-Forscher.
Bei der Sicherheitslücke handelt es sich zudem keinesfalls um einen Einzelfall. Erst Mitte Mai wurde bekannt, dass der Smart-Home-Hersteller Eufy von einem massiven Sicherheitsproblem betroffen war. Dadurch erhielten manche Nutzer in bestimmten Regionen ohne ihr Zutun die volle Kontrolle über fremde Überwachungskameras, wie DER STANDARD berichtete. Der Hersteller nannte ein Problem bei einem Server-Update als Ursache. (red, 16.6.2021)