Durch eine Sicherheitslücke in einigen IP-Kameras von TrendNet können neugierige Internetnutzer ohne Authentifizierung auf die Kamera zugreifen, wie der Blogger someLuser von consolecowboys
herausgefunden hat. Der Blogger hat die Lücke gefunden, als er die Firmware seiner Kamera des Typs TV-IP110w mit dem Tool
binwalk untersuchte.
Es kursieren bereits umfangreiche Listen mit frei zugänglichen Videostreams im Netz. Bei einer Stichprobe konnten wir auf die meisten Kameras problemlos zugreifen und uns Einblick in Büros, Wohn- und Kinderzimmer verschaffen. Der Blogger hat zu Demonstrationszwecken ein
Python-Skript gebastelt, das die Kameras mit Hilfe der Server-Suchmaschine
Shodan aufspürt. Steuert man eine bestimmte URL des Kamera-Webservers an, öffnet sich direkt der von der Kamera aufgezeichnete Videostream – unabhängig davon, ob man den Zugriff über das Internet mit einem Passwort geschützt hat oder nicht.
TrendNet hat bereits reagiert und bietet in seinem
Support-Bereich ein
Firmware-Update an, das "verbesserte Sicherheit" bieten soll. Offenbar sind auch zahlreiche andere Modelle betroffen: Nach Angaben des Bloggers hat der Hersteller auch die Firmware der Modelle TV-IP121W, TV-IP252P, TV-IP410WN, TV-IP410, TV-IP121WN und TV-IP110WN aktualisiert. Wer eines der genannten Kameramodelle einsetzt, sollte umgehend das Firmware-Update durchführen.
Quelle :
www.heise.de
