Sicherheitslücke in von Aldi verkauften Überwachungskameras von Maginon entdeckt
Betroffen sind Nutzer, die bei der Einrichtung kein Passwort vergeben haben. Sie laufen Gefahr, dass Unbefugte durch die automatische Verbindung der Kamera mit dem Internet auf die Bilder zugreifen, das WLAN-Passwort einsehen und unter Umständen auch das Passwort für das E-Mail-Konto erfahren.
Die bei Aldi 2014 und 2015 in mehreren Aktionen verkauften IP-Überwachungskameras der Marke Maginon stellen unter Umständen eine gravierende Sicherheitslücke im Heimnetzwerk dar. Darauf hat jetzt Heise Security nach einem Tipp der Schweizer Gruppe Digitale Gesellschaft hingewiesen. Betroffen sind dem Bericht zufolge Nutzer der Modelle Maginon IPC-10 AC, Maginon IPC-100 AC und Maginon IPC-20 C. Sie wurden sowohl bei Aldi Süd und Aldi Nord, als auch Aldi in der Schweiz und Hofer in Österreich verkauft.
Gefahr besteht, falls bei der Ersteinrichtung kein Passwort gewählt wurde. Dann wird nämlich die Kamera selbst aktiv und ändert über UPnP von sich aus die Router-Konfiguration. Sie ist dann über Port 80 für jedermann aus dem Internet erreichbar. Findet sie dann jemand über das Internet, was mit etwas Vorsatz gar nicht so schwierig ist, hat er darauf umfassende Zugriffsrechte.
Er kann sich also Bild- und Tonaufnahmen anhören und anschauen sowie – sofern bei jeweiligen Modell vorhanden, die Schwenk- und Neigefunktionen aktivieren -, damit er auch das sieht, was er sehen will. Da er zudem Zugriff auf die Kamera-Konfiguration erhält, stehen ihm auch alle dort vom Nutzer gespeicherten Zugangsdaten zur Verfügung – also auf alle Fälle das WLAN-Passwort und sofern Benachrichtigungen per Mail oder FTP eingestellt wurden unter Umständen auch die Anmeldedaten für Mail- und FTP-Server.
Heise zufolge sind Hunderte der Kameras angreifbar. Besitzer sollten daher umgehend prüfen, ob sie ein Passwort vergeben haben. Außerdem sollte mit Hilfe der mitgelieferten Software das bereits seit Monaten verfügbare aber eben nur so erhältliche Update eingespielt werden.
Die Sicherheitslücke offenbart wieder einmal, dass Hersteller bei der Vernetzung von Geräten vielfach zu sorglos sind. Ein Administrator-Konto ohne Passwort ist eigentlich ein Anfängerfehler. Das auch noch als Standardkonfiguration festzulegen, falls der Nutzer nichts anderes festlegt, schon fahrlässig. Allerdings sind die vielfach verwendeten Default-Passwörter, die bei allen Geräten einer Serie gleich sind, nicht wirklich besser und ließen sich in der Vergangenheit bereits für Angriffe nutzen.