Sicherheitslücken in Millionen von IoT-Geräten wie Überwachungskameras entdeckt

Stefan Beiersmann,
IoT (Bild: Shutterstock/everything possible)

Sie stecken in der Kalay-Plattform des Anbieters ThroughTek. Sie wird auch für Babyfons und andere Geräte zur Videoaufzeichnung verwendet. Angreifer können Geräte auf sich selbst registrieren und diese anschließend aus der Ferne kontrollieren.

Die Cybersicherheitsfirma Mandiant hat mehrere Sicherheitslücken in der IoT-Plattform Kalay von ThroughTek entdeckt. Sie machen Millionen von Geräten angreifbar, darunter Sicherheitskameras, smarte Babyfons und andere Geräte zur Videoaufzeichnung. Hacker können unter Umständen aus der Ferne die Kontrolle über betroffene Geräte übernehmen und Audio- und Videoaufzeichnungen live abhören.

Die Schwachstelle mit der Kennung CVE-2021-28372 wird als kritisch bewertet. Im Common Vulnerability Scoring System erreicht sie 9,6 von 10 möglichen Punkten. Einer gemeinsamen Sicherheitswarnung von Mandiant, ThroughTek und der US-Cybersecurity-Behörde CISA zufolge sollten Nutzer die neue Version 3.1.10 des Kalay-Protokolls einsetzen, um ihre Geräte und auch Netzwerke vor Angriffen zu schützen.

Den Forschern gelang es, Throughtek-Bibliotheken, die den offiziellen Apps im Apple App Store und Google Play Store entnommen wurden, mit einer selbst entwickelten Implementierung des Kalay-Protokolls zu kombinieren. Anschließend waren sie in der Lage, Funktionen wie die Erkennung und Registrierung von Geräten vorzunehmen, aus der Ferne Verbindungen herzustellen und Audio- und Videodaten zu verarbeiten.

Mithilfe eines ebenfalls selbst erstellten Interface für die Verarbeitung von Kalay-Anfragen und -Antworten fanden die Forscher schließlich mehrere Sicherheitslücken. Um ein Gerät zu registrieren, benötigten sie lediglich dessen Unique Identifier (UID). Diese Registrierung überschreibt Mandiant zufolge eine vorhandene Registrierung, was einem Angreifer zu vollständige Kontrolle über ein Geräte gewährt.

“Sobald ein Angreifer UIDs erhalten hat, kann er Client-Verbindungen zu sich selbst umleiten und Authentifizierungsdaten für das Gerät erhalten. Von dort aus könnte ein Angreifer das Video des Geräts ansehen, den Ton des Geräts abhören und das Gerät je nach Gerätefunktionalität möglicherweise weiter kompromittieren”, sagte Erik Barzdukas, Manager of Proactive Services by Mandiant.

Mandiant weist zudem darauf hin, dass kompromittierte Geräte in Enterprise-Umgebungen möglicherweise Informationen liefern, die Einbrüche in deren Netzwerke erlauben. Die Forscher gehen auch davon aus, dass sich einige Geräte auch zu Botnetzen hinzufügen lassen, um DDoS-Angriffe zu starten.

Mandiant war nach eigenen Angaben nicht in der Lage, eine vollständige Liste mit betroffenen Geräten zusammenzustellen. ThroughTek gibt an, das weltweit rund 83 Millionen internetfähige Geräte über das Kalay-Network verbunden sind.