Logo von Security

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.531.613 Produkten

Ronald Eikenberg 410

Alert IP-Kameras von Aldi als Sicherheits-GAU

Aldi-Kameras

Aldi hatte vergangenes Jahr mehrfach IP-Überwachungskameras mit denkbar schlechten Voreinstellungen verkauft. Die Geräte sind zu Hunderten fast ungeschützt über das Internet erreichbar.

Hersteller
Betroffen ist unter anderem die Außenkamera IPC-20 C. Vergrößern
Bild: Hersteller
Die bei Aldi verkauften IP-Überwachungskameras der Marke Maginon haben massive Sicherheitsprobleme: Unbefugte könnten über das Internet auf das Kamerabild zugreifen und sogar den Ton anzapfen. Zudem verraten die Geräte unter anderem die Passwörter für WLAN, E-Mail und FTP-Zugang ihres Besitzers. Hunderte Aldi-Kameras sind nahezu ungeschützt über das Internet erreichbar. Darauf hat uns der Zusammenschluss Digitale Gesellschaft aufmerksam gemacht.

Drei Modelle sind betroffen

Die Kameras IPC-10 AC, IPC-100 AC und IPC-20 C hat Aldi mit einer Firmware angeboten, die eine Nutzung des Fernzugriffs auch dann zulässt, wenn der Nutzer bei der Inbetriebnahme kein Passwort gesetzt hat. Das wird dem Nutzer schnell zum Verhängnis, die Geräte ändern über UPnP nämlich selbstständig die Router-Konfiguration, wodurch sie über Port 80 aus dem Internet erreichbar sind. Ist kein Passwort gesetzt, kann fortan jeder einen Blick durch das Kameraauge werfen. Da die Modelle IPC-10 AC und IPC-100 AC mit einem Mikrofon ausgestattet sind, können Unbefugte sogar Gespräche belauschen. Ferner sind diese Geräte motorgesteuert schwenkbar, ein ungebetener Gast kann also den Bildausschnitt beliebig verändern. Alle drei Modelle können durch Infrarot-LED auch in der Dunkelheit sehen.

Hersteller
Die Modelle IPC-100 AC (siehe Bild) und IPC-10 AC (optisch ähnlich) sind motorgesteuert und übertragen auch Ton. Vergrößern
Bild: Hersteller

Kameras verraten Passwörter für WLAN, Mail und FTP

Doch die Kameras gefährden in dieser Standardkonfiguration nicht nur die Privatsphäre, sondern auch die Sicherheit ihrer Nutzer: Über den Fernzugriff lässt sich die gesamte Kamera-Konfiguration auslesen, mitsamt aller vom Nutzer gespeicherten Zugangsdaten. Darunter befindet sich etwa das Passwort für das WLAN, mit dem die Kamera verbunden ist. Und auch die Logins für externe Mail- und FTP-Server geben die Geräte preis, sofern der Nutzer die Mail-Benachrichtigung respektive den FTP-Upload konfiguriert hat.

Betroffene Modelle wurden bei Aldi Nord, Aldi Süd, Aldi Suisse und Hofer (Österreich) verkauft:

Firmware-Update

Fatal: Standardmäßig gibt es einen Admin-Account ohne Passwort.
Fatal: Standardmäßig gibt es einen Admin-Account ohne Passwort. Vergrößern

heise Security hat alle vier Unternehmen und den Hersteller Supra um eine Stellungnahme gebeten. Während Hofer und der Hersteller nicht reagierten, erklärten die übrigen, dass "den Nutzern bereits seit einigen Monaten ein Firmware-Update zur Verfügung steht, bei dem sie ein persönliches Passwort festlegen müssen. Wird das Update installiert, jedoch nicht das Kennwort geändert, kann der Nutzer selbst nicht mehr von extern auf die Kamera zugreifen und wird somit automatisch zum Einrichten dieser Sicherheitsvorkehrung aufgefordert".

Dennoch sind aktuell viele Kameras ungeschützt: Laut uns vorliegenden Testergebnissen kann man auf mehr als ein Drittel der Kameras, die über das Internet erreichbar sind, ohne Passwort zugreifen – es handelt sich um Hunderte Geräte. Einer der Gründe hierfür könnte sein, dass sich die Kameras nicht selbstständig um die Aktualität ihrer Firmware kümmern. Stattdessen muss der Nutzer selbst aktiv werden und zunächst ein Programm auf dem PC installieren, das die Firmware aus dem Netz zieht und auf die Kamera überspielt. Einen Fernzugriff ohne Passwort verhindert die Firmware-Version 1.2 und aufwärts. Auch wenn diese seit "einigen Monaten" verfügbar ist, wurden Ende vergangenen Jahres anscheinend noch Geräte mit älterer Firmware verkauft.

Verhaltener Update-Hinweis

Um die Situation in den Griff zu bekommen, haben die drei Aldi-Unternehmen ihren Lieferanten gebeten, weitere Schritte zu unternehmen. "So werden die Nutzer von unserem Lieferanten erneut eine Update-Information erhalten, mit der sie nochmals explizit darauf hingewiesen werden, ein persönliches Kennwort festzulegen. Beim Öffnen des Programmes bzw. der App werden die Nutzer automatisch auf dieses Update aufmerksam gemacht." Das Windows-Tool und die Apps sind allerdings nicht zwingend notwendig, um auf die Kamera zuzugreifen. Wer nur den Browser-Zugriff nutzt, bekommt davon nichts mit. Ferner will Aldi überprüfen, ob und wie man die "Kundinnen und Kunden noch deutlicher über Sicherheitsvorkehrungen informieren" kann. Einen Sicherheitshinweis sucht man auf den Aldi-Seiten derzeit vergeblich.

Jetzt handeln!

Angreifer nutzen die unsichere Konfiguration bereits aus ? und hinterlassen dem Kamera-Betreiber auch schon mal eine Botschaft.
Angreifer nutzen die unsichere Konfiguration bereits aus – und hinterlassen dem Kamera-Betreiber auch schon mal eine Botschaft. Vergrößern
Wer eine betroffene IP-Kamera betreibt, sollte mit Hilfe des mitgelieferten Windows-Tools sicherstellen, dass die aktuelle Firmware installiert und ein individuelles Passwort gesetzt wurde. Wer Passwörter für WLAN, Mail oder FTP in der Kamera gespeichert hat und nicht ausschließen kann, dass das Gerät ohne Zugriffsschutz mit dem Netz verbunden war, sollte diese Passwörter sicherheitshalber ändern. Ist der Router über UPnP konfigurierbar, sollte man diese Funktion besser abschalten, um zu verhindern, dass Geräte und Programme unbemerkt Port-Weiterleitungen einrichten.

Allerdings ist selbst nach dem Befolgen aller Sicherheitshinweise Vorsicht geboten: Da der Fernzugriff der Kameras unverschlüsselt über HTTP übertragen wird, kann sich ein Mitlauscher bei der Nutzung ebenfalls dauerhaften Zugang zur Kamera verschaffen. Man sollte die Verbindung also – wenn überhaupt – nur in vertrauenswürdigen Netzwerk aufbauen und öffentliche Netze wie Hotspots meiden.

Lesen Sie dazu bei c't:

(rei)

410 Kommentare

Themen:

Anzeige
  1. Weiterhin etliche IP-Kameras von Aldi unzureichend geschützt

    Aldi-Kameras weiter ein Problem

    Nach wie vor ist mindestens eine dreistellige Zahl der bei Aldi verkauften Maginon-Kameras ohne Passwort über das Internet steuerbar. Unterdessen hat sich herausgestellt, dass der Hersteller bereits im Juni 2015 informiert wurde.

  2. AVM warnt vor Telefonmissbrauch bei Routern mit älterer Firmware

    AVM Fritzbox 7490

    Fritzboxen mit "seltenen Konfigurationen" und älterer Firmware könnten aktuell Opfer von Angreifern werden, die auf Telefonbetrug zielen. AVM rät zu Updates.

  3. Kommentar: Kameraindustrie im Updatewahn

    Kommentar: Kameraindustrie im Updatewahn

    Mit jeder Kamerageneration steigt die Komplexität der Technik, Fehlfunktionen sind die logische Folge. Mit nachgeschobenen Updates beheben die Hersteller zwar bekannte Mängel, für den Anwender ist das aber eine Zumutung.

  4. Kunde vs. Nikon: Abmahnung wegen proprietärem WLAN mit Bluetooth-Zwang

    Nikon D500 mit WLAN-Adapter WT7

    Wer das integrierte WLAN der Nikon D500 nutzen möchte, braucht derzeit ein Android-Smartphone mit Bluetooth. Reine WLAN-Verbindungen unterstützt die Kamera nicht, was von vielen Anwendern kritisiert wird. Ein Kunde hat Nikon deswegen jetzt abgemahnt.

  1. iOS vs. Android – Argumente für den Wechsel zu Apple

    Die großen Displays von iPhone 6(s) und 6(s) Plus erfüllen vielen wechselwilligen Smartphone-Nutzern einen lange gehegten Wunsch. Es gibt aber noch mehr Gründe, von Android oder Windows Phone auf iOS umzusteigen.

  2. WLAN in Kameras: Spielerei oder nützliches Werkzeug?

    WLAN in Kameras: Spielerei oder nützliches Werkzeug?

    WLAN in der Kamera kann ein überaus nützliches Feature sein. Dafür muss der Hersteller aber aus Hardware und Software ein überzeugendes Komplettpaket schnüren und das ist keineswegs selbstverständlich. In unserem anspruchsvollen Praxistest zeigt sich, welche Hersteller das Kamera-WLAN im Griff haben.

  3. Besserer Schutz: Zwei-Faktor-Authentifizierung für die Apple ID

    Zwei-Faktor-Authentifizierung auf iPhone und iPad

    Die Zwei-Faktor-Authentifizierung sichert Apple ID und iCloud ab. Mac & i zeigt die Einrichtung Schritt für Schritt, nennt die Vorteile des neuen Systems und erklärt den Umstieg von der alten zweistufigen Bestätigung.

  1. Neue Drohnenverordnung: Modellflieger laufen Sturm

    Neue Drohnenverordnung: Modellflieger laufen Sturm

    Modellflieger sehen ihr Hobby durch die neuen Regeln zu unbemannten Fluggeräten in Gefahr. Stein des Anstoßes ist die Begrenzung der Flughöhe auf 100 Meter. Eine Kompromiss-Regelung soll sogar kurzfristig gekippt worden sein.

  2. Vodafone Kabel: Fritzboxen verlieren durch Wartungsfehler individuelle Einstellungen

    Vodafone Kabel: Fritzboxen verlieren durch Wartungsfehler Telefonie-Einstellungen

    Vodafone erklärt auf Nachfrage, dass es sich bei der nächtlichen Wartung um einen teilweise missglückten Routine-Eingriff gehandelt habe.

  3. Kennzeichen und Kenntnisnachweis: Neue Pflichten für Drohnenpiloten kommen

    GoPro-Drohne

    Mehr Sicherheit und Privatsphäre bringen die neuen Regeln für Drohnen laut Verkehrsminister Dobrindt. Unter anderem sind Kennzeichen an den Drohnen verpflichtend, ab einem bestimmten Gerätegewicht auch Kenntnisnachweise.

  4. Navigationssystem Galileo: Mehrere Atomuhren auf Satelliten ausgefallen

    Satellitennavigationssystem  Galileo: Mehrere Uhren ausgefallen

    Das europäische Satellitennavigationssystem Galileo hat weiterhin Probleme: Wie der ESA-Chef am Mittwoch mitteilte, sind insgesamt zehn der hochpräzisen Atomuhren ausgefallen, aber noch haben alle Satelliten Backups.

Anzeige