Categories: Hardware

Bitdefender entdeckt Sicherheitslücken in Überwachungskameras

Hardware aus dem Internet of Things wird eine zunehmend wichtigere Angriffsfläche für Cyberkriminelle, da Smart-Home-Geräte zum Teil auch an Unternehmensnetze angebunden sind. Dies gilt auch für Überwachungskameras und Hardware für Gebäudesicherheit. Das ist das Ergebnis einer Analyse von Bitdefender, bei der das Unternehmen vier Schwachstellen im ThroughTek-Kaylay (TUTK)-Framework entdeckt hat, auf das viele Hersteller von IoT-Geräten zurückgreifen.

Sicher betroffen sind demnach Geräte von bekannten Marken wie Roku, Wyze und Owlet. Hacker, die die einzelnen Schwachstellen kombinieren, können die völlige Kontrolle übernehmen, die Geräte ausspionieren oder Malware installieren. Die Hersteller haben die Schwachstellen auf die Bitdefender-Nachweise hin mittlerweile per Push-Update geschlossen. Nutzer sollten dennoch dringend den Update-Status ihrer IoT-Geräte und den Schutz ihrer Router überprüfen.

Bei ihren Versuchen kompromittierten die Sicherheitsexperten von Bitdefender die Roku Indoor Kamera SE, den Owlet Cam Next-Gen Smart HD Video Baby Monitor in den Versionen 1 und 2 sowie die Wyze Cam v3. Das tatsächliche Ausnutzen der Schwachstelle in the wild konnten die Sicherheitsexperten nicht überwachen. Bitdefender erwartet, dass neben Roku, Wyze und Owlet zahlreiche andere Hersteller das Framework nutzen und damit weitere Geräte betroffen sind. Das TUTK-Framework von Throughtek ist als Quelle der Schwachstellen laut eigenen Schätzungen des Betreibers in rund 100 Millionen Geräten weltweit installiert, vor allem in Sicherheits- und Überwachungskameras für private Anwender.

Eine der vier Schwachstellen erlaubt authentifizierten Benutzern das Durchführen von Systembefehlen. Wird sie mit einer weiteren Schwachstelle kombiniert, erhalten Angreifer einen Root-Zugang und somit die vollständige Kontrolle über ein Gerät. Darüber hinaus ist es möglich, auf den AuthKey-Zeichenschlüssel für die Verbindung von Hardware und Smartphone-App zuzugreifen. Ein Hacker kann so von außen eine Verbindung mit einem der fraglichen IoT-Geräte aufnehmen.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

6 Stunden ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

1 Tag ago

Bedrohungen in Europa: Schwachstellen in der Lieferkette dominieren

Hinter 84 Prozent der Zwischenfälle bei Herstellern stecken Schwachstellen in der Lieferkette. Auf dem Vormarsch…

2 Tagen ago

Bericht: Apple arbeitet an faltbarem iPad

Es kommt angeblich 2028 auf den Markt. Das aufgeklappte Gerät soll die Displayfläche von zwei…

2 Tagen ago

HPE baut Supercomputer am Leibniz-Rechenzentrum

Das System basiert auf Hardware von HPE-Cray und Nvidia. Die Inbetriebnahme erfolgt 2027.

2 Tagen ago

Bund meldet Fortschritte in der Netzversorgung

Die Bundesnetzagentur hat ihr Gigabit-Grundbuch aktualisiert. Drei von vier Haushalten sollen jetzt Zugang zu Breitbandanschlüssen…

3 Tagen ago