telecamere IP di Aldi con buchi di sicurezza di massa

Aldi ha avuto l'anno scorso ha venduto più volte telecamere di sorveglianza IP con le peggiori immaginabili preferenze. Le unità sono a centinaia a piedi quasi non protetti su Internet.

fabbricante
è influenzato, tra l'altro, la telecamera esterna IPC-20 C.ingrandire
Immagine: ProduttoreVenduto a Aldi IP marchio telecamere di sorveglianza Maginon hanno problemi di sicurezza enormi: le persone non autorizzate potrebbero accedere via Internet per l'immagine della telecamera e anche attingere il suono. Inoltre, i dispositivi rivelano, tra le altre cose per le password Wi-Fi, e-mail e l'accesso FTP al suo proprietario. Centinaia telecamere Aldi sono praticamente non protetti accessibili via Internet. Poi la fusione società digitale ci ha reso consapevoli.

Tre modelli sono colpiti

Le telecamere IPC-10 AC, IPC-100 e IPC-AC 20 C offerto con firmware, che permette l'uso di accesso remoto anche quando l'utente non ha alcuna password impostata durante la messa Aldi. Questo rapidamente il destino utente, modificare il dispositivo tramite UPnP e cioè indipendentemente dalla configurazione del router, rendendoli accessibili da Internet sulla porta 80 ° Nessuna password è impostata, da oggi tutti possono avere uno sguardo attraverso l'occhio della telecamera. Come i modelli IPC-10 AC e IPC-100 AC sono dotati di un microfono, gli utenti non autorizzati possono intercettare anche chiamate. Inoltre, questi dispositivi sono girevole motore controllato, un ospite indesiderato può quindi ricomporre l'immagine richiesta. Tutti e tre i modelli possono vedere al buio con LED ad infrarossi.

fabbricante
I modelli IPC-100 AC (vedi figura) e IPC-10 AC (visivamente simili) sono motore controllato, e anche trasmettere il suono.ingrandire
Immagine: Produttore

Telecamere rivelano le password per Wi-Fi, la posta e FTP

Ma le telecamere compromettono questa configurazione predefinita, non solo la privacy, ma anche la sicurezza dei loro utenti: A proposito di accesso remoto a tutta la configurazione della telecamera può essere letto, completo di tutte le impostazioni memorizzate dalle informazioni di accesso utente. Tra di loro è circa la password per la rete wireless a cui è collegata la fotocamera. E i dati di accesso per la posta esterna e server FTP divulgare i dispositivi meno che l'utente ha configurato la notifica di posta elettronica, rispettivamente, l'upload FTP.

modelli interessati sono stati venduti a Aldi Nord, Aldi, Aldi Suisse e Hofer (Austria):

Aggiornamento firmware

Fatal: per impostazione predefinita esiste un account amministratore senza una password.
Fatal: per impostazione predefinita esiste un account amministratore senza una password.ingrandire

Heise Security ha chiesto a tutte le quattro società e il produttore Supra per un parere. Mentre Hofer e il produttore non ha risposto, ha detto l'altro che "gli utenti è disponibile per diversi mesi, un aggiornamento del firmware, in cui devono impostare una password personale. Se l'aggiornamento è installato, ma non ha cambiato la password, l'utente non può accedere dall'esterno alla telecamera stessa, ed è quindi spinto automaticamente impostare questa avvertenza",

Eppure, molte fotocamere sono attualmente non protetti: Secondo presentare i nostri risultati dei test può essere visto su più di un terzo delle telecamere che sono accessibili su Internet, l'accesso senza password - è centinaia di dispositivi. Uno dei motivi per questo potrebbe essere che le telecamere non prendono automaticamente la cura della tempestività del loro firmware. Al contrario, l'utente deve diventare attivo e inizialmente l'installazione di un programma sul PC che esegue il firmware dalla rete e copiato nella fotocamera. L'accesso remoto senza una password impedisce versione del firmware 1.2 e superiori. Anche se questi dal "pochi mesi" è disponibile, fine dello scorso anno sono stati a quanto pare i dispositivi venduti con firmware precedente.

Cauto Nota di aggiornamento

Al fine di ottenere la situazione sotto controllo, le tre società Aldi hanno chiesto ai loro fornitori a compiere ulteriori passi. "Così gli utenti dei nostri fornitori riceveranno di nuovo un'informazione di aggiornamento, con cui sono ancora una volta esplicitamente sottolineato per impostare una password personale. Quando si apre il programma o l'applicazione, gli utenti vengono automaticamente messi a conoscenza di questo aggiornamento." Tuttavia, lo strumento di Windows e le applicazioni non sono obbligatori per accedere alla telecamera. Chi usa solo l'accesso del browser, non si accorge. Inoltre Aldi vuole verificare se e come il "informare i clienti in modo più chiaro sulle misure di sicurezza" può. A una pericolosa guarda le pagine Aldi attualmente invano.

Agire ora!

Gli aggressori utilizzano la configurazione non sicuro già? e dietro le operatori a volte anche un messaggio.
Gli aggressori utilizzano la configurazione non sicuri già - e lasciano gli operatori della macchina fotografica a volte anche un messaggio.ingrandireChe è in funzione una telecamera IP interessata, dovrebbe garantire che l'ultima versione del firmware installata e una password individuale è stata impostata utilizzando gli strumenti di Windows in dotazione. Chi ha le password per il wireless, mail o FTP salvata nella fotocamera e non può escludere che il dispositivo è stato collegato senza protezione accesso alla rete, dovrebbe cambiare le password per motivi di sicurezza. Se il router tramite UPnP configurabile, è necessario disattivare questa funzione meglio prevenire attrezzature e programmi di configurare il port forwarding inosservato.

Tuttavia, anche dopo aver seguito ogni cautela sicurezza: Poiché l'accesso remoto alle telecamere viene trasmessa in chiaro su HTTP, un Mitlauscher in uso può anche fornire accesso continuativo alla telecamera. Si dovrebbe collegare in modo - se non del tutto - costruire solo in rete di fiducia e di evitare le reti pubbliche come hotspot.

Si prega di leggere a c't:

(Rei)