Eine Sicherheitslücke in der Software von Webcams, IP-Überwachungskameras und Baby-Monitoren des chinesischen Kamera-Schwergewichts Foscam Digital Technologies könnte genutzt werden, um aus der Ferne Zugriff auf aufgenommene und Live-Videos zu erhalten. Alles, was die Hacker dafür wissen müssen, ist die Internetadresse des angezielten Gerätes, und in vielen Fällen reicht es, lediglich „OK“ zu klicken, um die Aufforderung zur Authentifizierung zu umgehen.

Die Kameras erlauben es von Haus aus, bis zu acht Benutzerkonten einzurichten, eines davon für den Administrator. Die anderen sieben gelten voreingestellt als Besucherkonten. Lässt man einen dieser Slots leer, so ergibt sich die oben genannte Schwachstelle.

Sicherheits-Experten deckten die Schwachstelle im Support-Forum der Firma auf und wurden in ihren Entdeckungen von der Abteilung technischer Support der Firma bestätigt. Der Bug kommt vor allem bei den MJPEG-Kameras vor, welche die .54 Version der Firmensoftware nutzen.

Foscam plante ein Sicherheitsupdate der Software zum 25. Januar 2014, das auf der Firmenwebseite erhältlich ist. Betroffen waren lauf Foscam folgende Kamera-Modelle: FI8904W, FI8905E, FI8905W, FI8906W, FI8907W, FI8909W, FI8910E, FI8910W, FI8916W, FI8918W und FI8919W.

Don Kennedy, ein Kamera-Liebhaber und aktives Mitglied im Foscam-Forum, der dabei half, diesen Bug zu identifizieren und das Problem aufzudecken, entwickelte darüber hinaus einen Weg, wie man den Bug eigenhändig beheben konnte, bis Foscam das Update publizierte. Die Lösung: Alle acht Benutzerkonten sorgfältig mit Benutzernamen und Passwörtern versehen, damit ein einfaches „OK“ eben nicht mehr ausreicht.

In der inzwischen publizierten Version .55 wurde das Problem laut Kennedy behoben, auch wenn er einen weiteren Bug gefunden hat: Wird häufiger versucht, das Passwort ohne Erfolg zu knacken, so hängt sich die betroffene Kamera auf – ungünstig für diejenigen, die ihre Kameras selbst nur aus der Ferne steuern und sie nicht vor Ort manuell neu starten können.

Für Foscam ungünstig: Erst im August 2013 gab es einen ähnlichen Vorfall, bei dem Berichten zufolge gehackte Kameras u.a. dazu genutzt wurden, schlafenden Babys Obszönitäten zu zurufen.

Siehe auch:

• Babyphon gehackt

Artikel von krebsonsecurity.com, 23.01.2014: Bug Exposes IP Cameras, Baby Monitors
Artikel von pcworld.com, Jannuar 2014: Authentication bypass bug exposes Foscam webcams to unauthorized access