Die Sicherheit des eigenen Zuhauses oder Büros durch die Installation von „smarten“ Kameras zu verbessern, ist ein weit verbreiteter Wunsch. Mit einer direkten Verbindung zum Internet ist der Überwachungsstream nur wenige Klicks entfernt und jederzeit verfügbar. Diese Bequemlichkeit kann sich jedoch schnell als Nachteil erweisen, wenn die Kamera Sicherheitslücken aufweist, die unbefugten Akteuren Tür und Tor öffnen. Wie eine ESET-Studie zur Sicherheit intelligenter Heime gezeigt hat, war dies bei der D-Link Cloud-Kamera DCS-2132L der Fall, die es Angreifern ermöglichte, nicht nur das aufgezeichnete Video abzufangen und anzusehen, sondern auch die Firmware des Geräts zu manipulieren.
Ungeschützte Videoübertragung und Man-in-the-Middle-Angriffe
Das gravierendste Problem bei der D-Link DCS-2132L Cloud-Kamera war die unverschlüsselte Übertragung des Videostreams. Sie erfolgte sowohl über die Verbindung zwischen der Kamera und der Cloud als auch zwischen der Cloud und der Client-seitigen Viewer-App unverschlüsselt. Dies bot einen fruchtbaren Boden für Man-in-the-Middle (MitM)-Angriffe und ermöglichte es Eindringlingen, die Videostreams der Opfer auszuspionieren.
Die Viewer-App und die Kamera kommunizieren über einen Proxyserver auf Port 2048 und verwenden einen TCP-Tunnel, der auf einem benutzerdefinierten D-Link-Tunnelprotokoll basiert. Leider ist nur ein Teil des Datenverkehrs, der durch diese Tunnel läuft, verschlüsselt. Einige der sensibelsten Inhalte – wie Anfragen nach Kamera-IP- und MAC-Adressen, Versionsinformationen, Video- und Audiostreams sowie umfangreiche Kamerainformationen – blieben ohne Verschlüsselung.
Die Schwachstelle, die für dieses und einige der später in diesem Artikel beschriebenen Probleme verantwortlich ist, lässt sich auf eine Bedingung in der Datei request.c (Teil des Quellcodes des benutzerdefinierten Open-Source-Boa-Webservers von D-Link) zurückführen, die HTTP-Anfragen an die Kamera verarbeitet. Alle HTTP-Anfragen von 127.0.0.1 wurden auf die Administrator-Ebene angehoben, was einem potenziellen Angreifer vollen Zugriff auf das Gerät gewährte.
Ein MitM-Angreifer, der den Netzwerkverkehr zwischen der Viewer-App und der Cloud oder zwischen der Cloud und der Kamera abfängt, konnte den Datenstrom der TCP-Verbindung auf dem Server (Cloud) Port 2048 nutzen, um die HTTP-Anfragen für die Video- und Audiopakete zu sehen. Diese konnten dann vom Angreifer jederzeit rekonstruiert und wiedergegeben werden, um den aktuellen Audio- oder Videostream von dieser Kamera zu erhalten. In den Experimenten wurden die gestreamten Videoinhalte in zwei Rohformaten erhalten, insbesondere M-JPEG und H.264.
Um den Videostream zu rekonstruieren, sind einige Schritte erforderlich (die leicht über ein einfaches Programm oder Skript automatisiert werden können): Zuerst muss der Datenverkehr identifiziert werden, der Videostreams darstellt. Dieser Datenverkehr besteht aus mehreren Datenblöcken, wobei jeder Block einen spezifischen Header und eine definierte Länge hat. Als Nächstes werden die Datenteile von den Headern getrennt. Schließlich werden die Teile des Videos zu einer Datei zusammengeführt.
Das Abspielen der auf diese Weise erhaltenen Videodateien kann etwas knifflig sein, da sie im Rohstreamingformat und nicht in einem Containerdateiformat vorliegen. Einige Media Player können diese Rohformate jedoch verarbeiten, wenn sie mit den entsprechenden Kommandozeilen-Schaltern ausgeführt werden (zum Beispiel kann MPlayer M-JPEG-Dateien verarbeiten und VLC kann H.264-Dateien abspielen).
Schwachstelle im Webbrowser-Plug-in – Ein Problem, das behoben wurde
Ein weiteres ernstes Problem, das bei der Kamera gefunden wurde, verbarg sich im Webbrowser-Plug-in „mydlink services“. Dies ist eine der Formen der Viewer-App, die dem Benutzer zur Verfügung steht; andere sind mobile Apps, die nicht Teil der Untersuchung waren.
Das Webbrowser-Plug-in verwaltet die Erstellung des TCP-Tunnels und die Live-Videowiedergabe im Browser des Clients. Es ist aber auch dafür verantwortlich, Anfragen für die Video- und Audiodatenströme durch einen Tunnel weiterzuleiten, der auf einem dynamisch generierten Port auf localhost lauscht.
Der Tunnel wurde für das gesamte Betriebssystem verfügbar gemacht, sodass jede Anwendung oder jeder Benutzer auf dem Computer des Clients einfach über eine einfache Anfrage (nur während des Live-Video-Streamings) an hxxp://127.0.0.1:RANDOM_PORT/ auf die Weboberfläche der Kamera zugreifen konnte.
Es war keine Autorisierung erforderlich, da die HTTP-Anfragen an den Webserver der Kamera beim Zugriff von einer Localhost-IP (der Localhost der Viewer-App wurde zum Kamera-Localhost getunnelt) automatisch auf Administrator-Ebene angehoben wurden.
Diese Schwachstelle ermöglichte es Angreifern auch, die legitime Firmware durch ihre eigene manipulierte oder mit Backdoors versehene Version zu ersetzen. Es ist wichtig zu betonen, dass dieses spezifische Problem mit dem Plug-in zum Zeitpunkt der Veröffentlichung des ESET-Berichts behoben wurde.
Das anhaltende Risiko durch manipulierbare Firmware
Obwohl die Probleme mit dem „mydlink services“-Plug-in erfolgreich vom Hersteller behoben wurden, war der böswillige Firmware-Austausch zum Zeitpunkt der Berichterstattung weiterhin über Schwachstellen im benutzerdefinierten D-Link-Tunnelprotokoll möglich, das zuvor in diesem Artikel beschrieben wurde. Um dies zu erreichen, musste ein Angreifer den Datenverkehr im Tunnel ändern, indem er die Video-Stream-GET-Anfrage durch eine spezifische POST-Anfrage ersetzte, die ein gefälschtes Firmware-„Update“ hochlädt und ausführt.
Wir müssen an dieser Stelle betonen, dass die Durchführung eines solchen Angriffs nicht trivial ist, da er alle Regeln des Tunnelprotokolls befolgen müsste, die Firmware-Datei in Blöcke mit spezifischen Headern und einer bestimmten maximalen Länge aufteilen müsste.
Allerdings wurde die Authentizität der Firmware-Binärdatei während des Update-Prozesses nicht überprüft. Eine angepasste Firmware mit einigen zusätzlichen „versteckten“ Funktionen wie Kryptowährungs-Minern, Backdoors, Spionage-Software, Botnets oder anderen Trojanern konnte somit auf das Gerät hochgeladen werden. Darüber hinaus bedeutete das Fehlen jeglicher Authentizitätsprüfungen, dass ein böswilliger Akteur das Gerät absichtlich „bricken“ konnte (unbrauchbar machen).
Das UPnP-Problem und die unbeabsichtigte Portfreigabe
Die D-Link DCS-2132L hatte auch einige andere kleinere, aber dennoch bedenkliche Probleme. Sie konnte über Universal Plug and Play (UPnP) Portweiterleitungen auf sich selbst auf einem Heimrouter einrichten. Dies exponierte ihre HTTP-Schnittstelle auf Port 80 zum Internet und konnte ohne Zustimmung des Benutzers geschehen, selbst wenn die Felder „Enable UPnP presentation“ oder „Enable UPnP port forwarding“ in den Einstellungen deaktiviert waren.
Warum die Kamera eine so gefährliche Einstellung verwendet, ist unklar. Zum Zeitpunkt der Untersuchung konnten über Shodan fast 1.600 D-Link DCS-2132L Kameras mit exponiertem Port 80 gefunden werden, die meisten davon in den Vereinigten Staaten, Russland und Australien.
Der einfachste Weg, dieses aktuelle Risiko zu mindern, besteht darin, UPnP auf dem Router des Benutzers zu deaktivieren.
Status der Schwachstellenbehebung und Empfehlungen
Im Rahmen einer verantwortungsvollen Offenlegung meldete ESET die entdeckten Probleme am 22. August 2018 an D-Link, einschließlich der anfälligen unverschlüsselten Cloud-Kommunikation, unzureichender Cloud-Nachrichtenauthentifizierung und unverschlüsselter LAN-Kommunikation.
D-Link reagierte umgehend und informierte ESET, dass die Schwachstellenberichte an ihre Forschungs- und Entwicklungsteams weitergeleitet worden seien, und versprach eine Nachverfolgung.
Seitdem wurden einige der Schwachstellen behoben – gemäß den Tests von ESET ist das „mydlink services“-Plug-in nun ordnungsgemäß gesichert –, obwohl andere Probleme bestehen bleiben. Zum Zeitpunkt der Berichterstattung war die aktuellste zum Download verfügbare Firmware-Version vom November 2016 und adressierte nicht die Schwachstellen, die den böswilligen Austausch der Firmware der Kamera sowie das Abfangen von Audio- und Videostreams ermöglichen.
Die D-Link DCS-2132L Kamera ist weiterhin auf dem Markt erhältlich. Aktuellen Besitzern des Geräts wird empfohlen, zu überprüfen, ob Port 80 nicht zum öffentlichen Internet exponiert ist, und die Verwendung des Fernzugriffs zu überdenken, wenn die Kamera hochsensible Bereiche ihres Haushalts oder Unternehmens überwacht.
Diese Erkenntnisse unterstreichen die Notwendigkeit, bei der Auswahl und Nutzung von Smart-Home-Geräten, insbesondere von Sicherheitskameras, auf potenzielle Schwachstellen zu achten und verfügbare Sicherheitsupdates zeitnah zu installieren, sofern diese die bekannten Probleme beheben.
Häufig gestellte Fragen (FAQ)
Ist D-Link eine deutsche Firma?
Nein, D-Link ist keine deutsche Firma. Das Unternehmen wurde 1986 als Datex Systems Inc. von Ken Kao in Taipeh, Taiwan, gegründet, wo sich auch der Firmenhauptsitz befindet. D-Link hat jedoch eine starke Präsenz in Deutschland. Im Jahr 1991 eröffnete das Unternehmen eine Niederlassung in Deutschland und benannte sich 1992 von Datex Systems in D-Link um. Die D-Link (Deutschland) GmbH in Eschborn ist für Deutschland, Österreich und die Schweiz zuständig und hat zusätzliche Vertriebsbüros in Wien und Zürich.
Funktioniert D-Link mit Google Home?
Ja, D-Link Geräte können mit Google Home zusammenarbeiten. Der Google Assistant kann Ihnen helfen, Ihre D-Link Smart Plugs und Connected Home Kameras mit Ihrer Stimme zu steuern. Dies ermöglicht eine bequeme Integration in Ihr Smart-Home-System.
Hat dich der Artikel D-Link Kamerasicherheit: Einblicke & Risiken interessiert? Schau auch in die Kategorie Ogólny rein – dort findest du mehr ähnliche Inhalte!