Bug in Open-Source-Software macht Millionen von Überwachungskameras angreifbar

Forscher des Sicherheitsanbieters Senrio haben eine Schwachstelle entdeckt, die es erlaubt, Überwachungskameras ohne viel Aufwand zu hacken und aus der Ferne zu steuern. Die Anfälligkeit steckt in einer Open-Source-Software namens gSOAP, einem Software Development Kit für auf SOAP/XML basierende Web-Services.

Ihren Zero-Day-Exploit nennen die Forscher nach der aus Asien stammenden Kletterpflanze Devil’s Ivy, da sie sich schnell verbreitet und nur sehr schwer wieder entfernen lässt. Mithilfe des Exploits können die Forscher den Video-Feed einer Überwachungskamera ausspähen, die Aufnahme anhalten oder gar die Kamera abschalten.

Auf den Bug stieß Senrio bei einer Untersuchung von Sicherheitskameras von Axis, einem der größten Anbieter von internetfähigen Überwachungskameras. Axis-Produkte werden weltweit zur Überwachung eingesetzt. Unter anderem stammen alle am Flughafen Los Angeles eingesetzten Kameras von Axis.

Von der Sicherheitslücke sind alleine 249 Kameramodelle von Axis betroffen. Zudem sind Produkte von 34 anderen Herstellern anfällig. Da es sich um einen Fehler in einer Open-Source-Software handelt, deren Code jedem offen steht, geht Senrio davon aus, dass weltweit Millionen andere Geräte angreifbar sind.

Genivia, das hinter der Entwicklung von gSOAP steht, zählt nach eigenen Angaben auch Technikfirmen wie IBM, Microsoft und Adobe zu seinen Nutzern. Insgesamt sei seine Software mehr als eine Millionen Mal heruntergeladen worden.

Axis hat laut Senrio bereits mit der Verteilung einer fehlerbereinigten Firmware begonnen und seine Partner und Kunden aufgefordert, ein Upgrade durchzuführen. Senrio bestätigte zudem, dass der von Axis entwickelte Fix den Devil’s-Ivy-Exploit unwirksam macht.

Die Sicherheit von Überwachungskameras steht nicht das erste Mal in der Kritik. F-Secure meldete bereits im Juni 18 Schwachstellen in Produkten des chinesischen Herstellers Foscam, die unter zahlreichen verschiedenen Markennamen verkauft werden. Auch hier war es den Forschern möglich, Videoaufnahmen zu betrachten und die Aufzeichnung zu stoppen. Zudem ließen sich kompromittierte Kameras für DDoS-Attacken und andere bösartige Aktionen nutzen.

ANZEIGE

Sie haben Optimierungsbedarf bei Ihren Logistikprozessen?

Die Lösung lautet: Dokumentenmanagement. Erfahren Sie im kostenlosen E-Book, wie ein Dokumentenmanagement-System (DMS) Ihnen helfen kann, Ihre Logistikprozesse zu verbessern – von der Artikelnummer bis zur Zustellung. Lesen Sie außerdem, wie Sie ein DMS auch im laufenden Betrieb zeit- und kostensparend implementieren können.

[mit Material von Alfred Ng, News.com]

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Apple meldet Rekordumsatz im vierten Fiskalquartal

Die Einnahmen klettern auf fast 95 Milliarden Dollar. Allerdings belastet der Steuerstreit mit der EU…

1 Tag ago

Microsoft steigert Umsatz und Gewinn im ersten Fiskalquartal

Das stärkste Wachstum verbucht die Cloud-Sparte. Microsoft verpasst bei der Umsatzprognose für das laufende Quartal…

2 Tagen ago

Bezahlkarten: Infineon verspricht weniger Plastikmüll

Ein Coil-on-Module-Package integriert Chip und Antenne, was den Kartenkörper fast vollständig recycelbar machen soll.

3 Tagen ago

Firefox 132 schließt elf Sicherheitslücken

Mindestens eine Anfälligkeit erlaubt das Einschleusen von Schadcode. Außerdem erweitern die Entwickler den Support für…

3 Tagen ago

Telekom nennt Termin für 2G-Ende

Zum 30. Juni 2028 soll das 2G-Netz komplett abgeschaltet werden und den Weg für schnellere…

3 Tagen ago

Alphabet übertrifft die Erwartungen im dritten Quartal

Gewinn und Umsatz legen deutlich zu. Zum Wachstum tragen auch die Sparten Cloud und Abonnements…

3 Tagen ago