Gratis
24. Juli 2017 - Datensicherheit

Sicherheitsleck gefährdet Überwachungs­kameras

Eine Schwachstelle in einer quelloffenen Softwarekomponente macht Millionen von Überwachungskameras unsicher. Angreifer könnten Aufnahmen aufzeichnen oder Geräte abschalten.

Videokameras: Sicherheitsleck inbegriffen Wieder sind Überwachungskameras angreifbar (Bild: stnazkul / iStock / Thinkstock)

Forscher des Sicherheitsanbieters Senrio haben eine Schwachstelle in gSOAP entdeckt. Dabei handelt es sich um eine Open-Source-Komponente, die von Herstellern von IP-Überwachungskameras genutzt wird. Mit verhältnismäßig wenige Aufwand kann die Sicherheitslücke von Unbefugten dazu genutzt werden, Zugriff auf die Geräte zu erhalten.

Den Forschern ist es gelungen, Zugriff auf den Videostream der Kamera zu erhalten, Aufnahmen anzuhalten oder auch das Gerät aus der Ferne auszuschalten.

Viele Markenprodukte betroffen

Federführend bei der Entwicklung von gSOAP ist das Unternehmen Genivia. Das Software Development Kit für Webservices, die auf SOAP und XML basieren, wird von vielen namhaften Herstellern von Überwachungskameras eingesetzt. Allein 249 Modelle von Axis, eines der Marktführer für Surveillance-Systeme, sind von der Lücke betroffen.

Auch diverse Produkte von 34 anderen Herstellern greifen auf die Komponenten zurück. Kameras dieser Hersteller werden unter anderem in Banken und Sparkassen eingesetzt, sind aber auch in vielen Unternehmen und an Flughäfen in Betrieb. Somit sind Millionen von Kameras angreifbar.

Sicherheitsupdates notwendig

Die schwere Sicherheitslücke hat von den Forschern den Codenamen „Devil’s Ivy“ erhalten. Axis hat inzwischen reagiert und einen Sicherheitspatch entwickelt, der nach Angaben von Senrio tatsächlich das Leck schließt. Dieses Updates sollten alle Unternehmen, die Kameras des Herstellers einsetzen, umgehend einspielen.

Bei den Geräten anderer Firmen ist es ratsam, auf den Webseiten der Hersteller nach aktuellen Informationen zu suchen, ob und welche Modelle betroffen sind oder ob es bereits eine Softwareaktualisierung gibt.

Es ist nicht das erste Problem mit Kameras des Herstellers Axis. Bereits im vergangenen Jahr wurden die Kunden zum Einspielen eines Sicherheits-Updates aufgefordert. Hier konnten Forscher ebenfalls eine Lücke ausnutzen, um darüber die Kontrolle einiger Geräte zu übernehmen. Betroffen waren seinerzeit nicht nur Netzwerkkameras, sondern auch Tür-Video-Kommunikationssysteme.

Stephan Lamprecht

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln