Verkehrsüberwachungskameras vielfach leicht angreifbar

Peter Marwan,
Hacker (Bild: Shutterstock)

Bei Kameras, die in Städten zur Verkehrsüberwachung und teilweise auch zur Geschwindigkeitskontrolle benutzt werden, haben Experten von Kaspersky Lab zahlreiche Schwachstellen gefunden. Kriminelle könnten diese leicht ausnutzen, um sich Zugang zu verschaffen und Daten zu manipulieren. Andere Komponenten der vielbeschworenen “Smart City” sind offenbar ähnlich leicht angreifbar.

Experten von Kaspersky Lab haben mehrere eklatante Sicherheitslücken in Verkehrsüberwachungskameras gefunden und eine bedenkliche Sorglosigkeit bei der Konfiguration dieser Geräte festgestellt. Auch in zahlreichen weiteren Geräten, die in sogenannten “Smart-City”-Szenarien zum Einsatz kommen, insbesondere diverse Bedienterminals mit Touchscreen, wurden als unsicher entlarvt.

Über eine zunächst allgemeine und dann verfeinerte Suchanfrage an die Internet-der-Dinge-Suchmaschine “Shodan” haben die Kaspersky-Experten im ersten Schritt die IP-Adressen von Verkehrsüberwachungskameras ermittelt. Durch Muster in der Struktur dieser IP-Adressen – sie befanden sich in jeder Stadt in einem Subnetz – war es ihnen dann möglich, weitere Geräte zu finden, die in den Suchergebnissen bei Shodan nicht aufgelistet wurden, sich aber in den selben Subnetzen wie bereits ermittelte Kameras befanden. Diese und benachbarte Subnetze wurden dann auf offene Ports hin untersucht. Dabei fand sich den Sicherheitsforschern zufolge “eine Vielzahl solcher Geräte”.

Bild von einer der von den Kaspersky-Experten erfolgreich angegriffenen Verkehrsüberwachungskameras (Bild: Kaspersky Lab)
Bild von einer der von den Kaspersky-Experten erfolgreich angegriffenen Verkehrsüberwachungskameras (Bild: Kaspersky Lab)

Nachdem ihnen bekannt war, welche Ports offen sind, prüften sie ob einer von für das Real-Time Streaming Protocol RTSP verantwortlich ist. Dieses Protokoll ermöglicht entweder die Übertragung im privaten Modus, also nur nach Log-in und Passwort, oder öffentlich. Zum Erstaunen der Kaspersky-Forscher konnte auf viele Geräte aber ohne Anmeldung zugegriffen werden: “Wir waren reichlich überrascht, als wir feststellten, dass es kein Passwort gab und der Videostream für jeden Nutzer frei verfügbar war, der mit dem Internet verbunden ist. Öffentlich wird nicht nur der Videostream übertragen, sondern auch zusätzliche Daten, unter anderem auch die geografischen Koordinaten der Kameras.”

„Wenn ein Angreifer ein System an einem bestimmten Ort für einige Zeit ausschalten will, ist das möglich“, so Vladimir Dashchenko, Sicherheitsexperte bei Kaspersky Lab. (Bild: Kaspersky Lab)
“Wenn ein Angreifer ein System an einem bestimmten Ort für einige Zeit ausschalten will, ist das möglich”, so Vladimir Dashchenko, Sicherheitsexperte bei Kaspersky Lab. (Bild: Kaspersky Lab)

Außerdem fanden sie noch “eine Menge” offener Ports auf diesen Geräte, über die sich “viele interessante technische Informationen” abgreifen ließen, etwa eine Liste der internen Subnetze des Kamerasystems und die Hardware der Kamera. Da die auch über drahtlose Kanäle angesprochen und umprogrammiert werden können und außerdem eine Geschwindigkeitsüberschreitung nur auf bestimmten Fahrspuren registrieren können, ließe sich die Überwachung aus der Ferne zu einer gewünschten Zeit an einer gewünschten Stelle für einen Fahrstreifen gezielt abschalten.

Kriminelle könnten diese Möglichkeiten nach Ansicht von Kaspersky ausnutzen, um sich nach Gesetzesübertretungen im fließenden Verkehr zu: “Sie können die Registrierung von Fahrzeugen auf bestimmten Fahrstreifen oder allen Fahrbahnen ihrer Route deaktivieren, die Polizei überwachen, die sie verfolgt, und vieles mehr”, so Vladimir Dashchenko, Sicherheitsexperte bei Kaspersky Lab. Zudem könnten sich Verbrecher Zugriff auf die Datenbank der als gestohlen gemeldeten Fahrzeuge verschaffen, dort Kennzeichen hinzufügen oder – was natürlich noch interessanter wäre – auch Nummer aus dem Verzeichnis löschen. Die Betreiber der betroffenen Kameras, vier Städte in Russland, wurden bereits benachrichtigt. Grundsätzlich dürften ähnliche Angriffsszenarien aber auch in anderen Ländern und auch in Deutschland möglich sein.

Kiosksysteme weit verbreitete Schwachstelle

Im Rahmen der jetzt vorgelegten Kaspersky-Studie zu Sicherheitslücken in Smart-City-Konzepten https://de.securelist.com/analysis/veroffentlichungen/71964/fooling-the-smart-city wurde auch ausführlich untersucht, wie sicher die oft mit Touchscreens eingerichteten Terminals für Zwecke wie Ticket-Buchung am Flughafen, Ausleihen von Fahrrädern oder Informationsterminals von Behörden sind. Als ein Ansatzpunkt für Angreifer wurde dabei die Tatsache ausgemacht, dass in den Terminals ein gewöhnlicher PC steckt, der auf seine spezielle Aufgabe lediglich dadurch vorbereitet wurde, dass er im sogenannten Kiosk-Modus läuft.

Mit dieser interaktiven grafischen Shell soll für Anwender der Zugriff auf Betriebssystemfunktionen gesperrt und auf eine vom Betreiber vorgegebene Auswahl an Möglichkeiten eingeschränkt werden. Soweit die Theorie. Allerdings zeigte sich in der Praxis, dass vielfach – und oft durch Fehlkonfigurationen – die Rechner nicht ausreichen davor geschützt sind, dass Nutzer mit etwas technischem Know-how den Kioskmodus mehr oder weniger unsanft beenden und dann auf alle Funktionen des Betriebssystems zugreifen können.

Häufiger Fehler der von Kaspersky untersuchten Kiosk-Systeme: Die aktuelle Windows-Sitzung läuft mit Administratorenrechten. (Bild: Kaspersky Lab)
Häufiger Fehler der von Kaspersky untersuchten Kiosk-Systeme: Die aktuelle Windows-Sitzung läuft mit Administratorenrechten. (Bild: Kaspersky Lab)

Das gelingt im Wesentlichen auf zwei Wegen, die als “Tap Fuzzing” oder “Data Fuzzing” bezeichnet werden. Beim Tap Fuzzing wird durch geschicktes aber nicht korrektes Aufrufen des Kontextmenü über den Touchscreen eines der Standardmenüs des Betriebssystems (Drucken, Hilfe, Eigenschaften) und darüber wiederum die Bildschirmtastatur aufgerufen. Damit bekommt der Angreifer Zugriff auf die Befehlszeile und damit auch alle Daten und Funktionen.

Bei dem einer HTML Injection bei Websites grundsätzlich ähnlichen Data Fuzzing wird dasselbe Ziel nur auf anderem Wege erreicht: Dabei werden in das dem Nutzer zur Interaktion angebotenen Feld Daten eingegeben, die Fehler des Kiosk-Modus hervorrufen. Das funktioniert zwar nur dann wenn, wenn der Entwickler der Vollbild-App die Filter zur Überprüfung einzugebenden Daten nicht korrekt konfiguriert hat. Das ist aber so wie früher eine Zeit lang bei den massenhaft für HTML Injection anfälligen Websites offenbar regelmäßig der Fall.

Ebenfalls auf eine unsaubere Implementierung zurückzuführen ist die Möglichkeit bei Kiosk-Diensten, die zum Beispiel Google Maps als Widget nutzen, auf darin enthaltene Links klicken zu können, die sich dann in einem neuen Browserfenster öffnen. Wiederum bekommen so Unbefugte die Möglichkeit, auf Funktionen des Standardmenüs des Betriebssystems zuzugreifen und darüber auf alle Daten auf dem Rechner. Die Sicherheitssituation wird nach Erfahrung der Kaspersky-Experten noch dadurch erheblich verschlimmert, dass zahlreiche der im Kiosk-Modus betrieben Rechner – unnötigerweise -unter einem Administratorkonto laufen. Damit stehen dem Angreifer dann wirklich alle Türen offen.