Bitdefender identifiziert Schwachstellen in sieben Smart Kameras von EZVIZ

Dafür umgehen die Täter vorhandene Authentifizierungsmechanismen. Bitdefender hat den Hersteller informiert und dieser Updates bereitgestellt. Nutzer sollten ihre Kameras unbedingt patchen und aktualisieren. Geschätzt sind rund zehn Millionen Geräte betroffen.

Hacker können bei ungepatchten Kameras über die Lücken zum einem auf den API-Endpunkten verschiedene Aktionen durchführen und erhalten Zugriff auf den Video-Feed. Außerdem können sie den Code für das Entschlüsseln der Bilder extrahieren. Zuletzt sind sie in der Lage, dass Administrator-Passwort wiederherzustellen und erhalten so die vollständige Kontrolle über eine Kamera.

Blick auf verschlüsselte Bilder

Die Experten diagnostizierten verschiedene Schwachstellen in den intelligenten EZVIZ-Geräten und ihren API-Endpunkten. Die Angreifer nutzen die ständig aktiven und offenen Kommunikationskanäle zwischen der Smartphone-App und dem Gerät über die Cloud via MQTT-Tunnel bzw. HTTPS.Die von der Kamera beim Speichern verschlüsselten Bilder sind eigentlich nur über einen zufälligen Verifikationscode zu entschlüsseln. Jede Kamera hat ihren eigenen Code. Die kurzen Codes lassen sich aber leicht durch Brute-Force-Attacken erschließen. Zusätzliche Passwörter zum Verschlüsseln des aufgezeichneten Materials lassen sich allein mit Kenntnis der Seriennummer eines Gerätes aufrufen.

Zugriff auf das Administratoren-Passwort

Ein Dienst über den Port 8000 zur Kontrolle und Konfiguration der Kamera im selben lokalen Netzwerk ermöglicht es Angreifern unter gewissen Bedingungen, das Administratoren-Passwort nach einer Anfrage zu erhalten und so die Kamera vollständig zu kontrollieren. Das ist etwa dann der Fall, wenn sich nach Inbetriebnahme kein Nutzer authentifiziert hatte.

Roger Homrich

Recent Posts

6 von 10 Händlern nutzen Social Commerce

Mehr als ein Viertel bietet Bestellungen über Social Media. Zwei Drittel spüren hohen Wettbewerbsdruck durch…

2 Tagen ago

Non-Human Identities: Unsichtbare Bedrohung im Zero-Trust-Modell

Wer APIs, KI-Agenten oder Service-Accounts als Risiko ausblendet, riskiert nicht nur Datenverlust, warnt Stephan Schweizer…

3 Tagen ago

Malware-Ranking Juni: Infostealer Formbook weiterhin an der Spitze

Laut Check Point-Analyse greift AsyncRAT global nach der Spitze und RAT verbreitet Malware über verseuchte…

3 Tagen ago

Wie Vibe Coding die Softwareentwicklung verändert

Was wie ein Produktivitätsbooster klingt, bringt erhebliche Risiken mit sich, warnt Patrick Siffert von Checkmarx.

5 Tagen ago

KI-Rechenzentren: Deloitte mahnt Ausbau der Kapazitäten an

In den nächsten fünf Jahren seien fast 60 Mrd. Euro an Investitionen erforderlich, um im…

5 Tagen ago

“Deepfakes sind plattform- und branchenübergreifend hochkoordiniert”

"Betrüger umgehen Sicherheitsmaßnahmen, indem sie Schwachstellen in traditionellen Verifizierungssystemen nutzen", warnt Vyacheslav Zholudev von Sumsub…

5 Tagen ago