Bitdefender identifiziert Schwachstellen in sieben Smart Kameras von EZVIZ

Dafür umgehen die Täter vorhandene Authentifizierungsmechanismen. Bitdefender hat den Hersteller informiert und dieser Updates bereitgestellt. Nutzer sollten ihre Kameras unbedingt patchen und aktualisieren. Geschätzt sind rund zehn Millionen Geräte betroffen.

Hacker können bei ungepatchten Kameras über die Lücken zum einem auf den API-Endpunkten verschiedene Aktionen durchführen und erhalten Zugriff auf den Video-Feed. Außerdem können sie den Code für das Entschlüsseln der Bilder extrahieren. Zuletzt sind sie in der Lage, dass Administrator-Passwort wiederherzustellen und erhalten so die vollständige Kontrolle über eine Kamera.

Blick auf verschlüsselte Bilder

Die Experten diagnostizierten verschiedene Schwachstellen in den intelligenten EZVIZ-Geräten und ihren API-Endpunkten. Die Angreifer nutzen die ständig aktiven und offenen Kommunikationskanäle zwischen der Smartphone-App und dem Gerät über die Cloud via MQTT-Tunnel bzw. HTTPS.Die von der Kamera beim Speichern verschlüsselten Bilder sind eigentlich nur über einen zufälligen Verifikationscode zu entschlüsseln. Jede Kamera hat ihren eigenen Code. Die kurzen Codes lassen sich aber leicht durch Brute-Force-Attacken erschließen. Zusätzliche Passwörter zum Verschlüsseln des aufgezeichneten Materials lassen sich allein mit Kenntnis der Seriennummer eines Gerätes aufrufen.

Zugriff auf das Administratoren-Passwort

Ein Dienst über den Port 8000 zur Kontrolle und Konfiguration der Kamera im selben lokalen Netzwerk ermöglicht es Angreifern unter gewissen Bedingungen, das Administratoren-Passwort nach einer Anfrage zu erhalten und so die Kamera vollständig zu kontrollieren. Das ist etwa dann der Fall, wenn sich nach Inbetriebnahme kein Nutzer authentifiziert hatte.

Roger Homrich

Recent Posts

Verband der Internetwirtschaft: Digitalisierungsampel der Koalition steht auf rot

Eco macht den 10-Punkte-Check: Ein Jahr nach ihrer Vereidigung konnte die Ampel ihre digitalpolitischen Ziele…

9 Stunden ago

Trends Folge 6: Wie lässt sich in der IT Energie sparen?

Von der Ressourcen- über die Produktions- bis hin zur Verbrauchsfrage: 2023 wird im Zeichen der…

10 Stunden ago

Industriespionage mit chinesischem Hintergrund

Die Bitdefender Labs haben eine komplexe Attacke aufgedeckt und analysiert. Urheber war höchstwahrscheinlich die APT-Gruppe…

10 Stunden ago

Interview: Wo steht Gaia-X heute?

Gaia-X soll Daten-Souveränität und selbstbestimmte Wertschöpfungsketten in einem geschützten Umfeld ermöglichen.

12 Stunden ago

Rekordpatchday: Google stopft im Dezember 232 Löcher in Android

Allein 77 Fixes stehen für die Pixel-Geräte zur Verfügung. Insgesamt 20 Anfälligkeiten stuft Google als…

15 Stunden ago

IDC: PC- und Tabletmarkt schrumpft 2022 voraussichtlich um 12 Prozent

Auch im Jahr 2023 ist nicht mit einem Wachstum zu rechnen. Die Absatzzahlen bleiben aber…

17 Stunden ago