Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.

Sicherheitslücke: Aldi-Kameras lassen sich von Fremden fernsteuern

Aldi-Kamera: Mehr als ein Drittel der Geräte sind online ohne Passwort erreichbar Zur Großansicht
Aldi Süd

Aldi-Kamera: Mehr als ein Drittel der Geräte sind online ohne Passwort erreichbar

Überwachungskameras, die bei Aldi verkauft wurden, haben offenbar ein Sicherheitsproblem: Hat man kein Passwort festgelegt, übertragen sie ihre Aufnahmen ungeschützt ins Netz - und verraten außerdem WLAN- und E-Mail-Passwörter.

Nach Recherchen des Tech-Magazins "Heise Online" sind Hunderte bei Aldi verkaufte Überwachungskameras von einer Sicherheitslücke bedroht. Die Kameras der Marke Maginon übertragen den gefilmten Bereich per Internet-Browser und App und sind im vergangenen Jahr in Filialen der Supermarktkette angeboten worden.

Betroffen sind Webcams, die im März, Juni und Dezember 2015 bei Aldi Süd und Aldi Nord angeboten wurden. Mehr als ein Drittel der im Netz erreichbaren Webcams könne man derzeit ohne Passwort kapern, ergaben Tests von "Heise Online".

Der netzpolitische Verein "Digitale Gesellschaft" aus der Schweiz hatte "Heise Online" auf die Software-Schwachstelle aufmerksam gemacht. Die Sicherheitslücke ermöglicht es Unbefugten angeblich, per Fernzugriff auf die Kameras zuzugreifen und dabei sowohl das Bild als auch den Ton anzuzapfen. Laut dem Bericht verraten die Geräte zudem das Passwort für das WLAN, mit dem die Kamera vernetzt ist, und Zugangsdaten für E-Mail-Konten und FTP-Zugänge.

Der Fehler soll sich in der standardmäßig installierten Firmware der Geräte mit der Modellbezeichnung IPC-20 C und den beiden Kameras IPC-10 AC, IPC-100 AC verbergen, die beide zusätzlich mit einem Mikrofon ausgestattet sind. Käufer der Geräte konnten diese grundsätzlich aktivieren, ohne ein Passwort einzurichten. Dieser fehlende Schutz führt allerdings dazu, dass nicht nur die Kamera-Käufer per Fernzugriff im Browser durch die Linse blicken und das Gerät schwenken können, sondern auch Unbefugte.

Firmware-Update schließt die Sicherheitslücke

"Heise Online" empfiehlt allen Kunden mit den betroffenen Geräten, so schnell wie möglich ein Passwort für den Kamera-Zugriff festzulegen. Wer seine Webcam bisher ohne Passwort eingesetzt hat, solle zudem die Zugangsdaten für WLAN, FTP-Server und E-Mail-Konten ändern. Außerdem sollte die aktuelle Firmware aufgespielt werden.

Gegenüber SPIEGEL ONLINE verweist eine Sprecherin von Aldi Süd darauf, dass in Softwareversionen von der Nummer 1.2 an der Fehler beseitigt und eine Passwortpflicht eingebaut wurde. Die neuen Versionen gebe es schon seit einigen Monaten. Man habe außerdem die Lieferanten darum gebeten, weitere Maßnahmen zu ergreifen und "prüfen, ob und wie wir unsere Kundinnen und Kunden noch deutlicher über Sicherheitsvorkehrungen informieren können".

Laut der Aldi-Sprecherin werden Nutzer der Kameras künftig beim Öffnen der Software und der App "von unserem Lieferanten erneut eine Update-Information erhalten, mit der sie nochmals explizit darauf hingewiesen werden, ein persönliches Kennwort festzulegen". Dieser Hinweis ist tatsächlich nicht unwichtig, denn die Firmware der Kameras aktualisiert sich nicht automatisch. Der Nutzer muss also selbst aktiv werden, um einem Anzapfen von Bild und Ton zuvorzukommen.

jbr

Diesen Artikel...
Forum - Diskutieren Sie über diesen Artikel
insgesamt 21 Beiträge
Alle Kommentare öffnen
    Seite 1    
1. Mein Auto muss ich auch nicht abschließen!
bbär 15.01.2016
Sollte ich aber. Unterlasse ich es, kann ich dem Hersteller aber keinen Vorwurf machen.
2.
globalundnichtanders 15.01.2016
Es ist grundsätzlich erschreckend, in wie viele private Grundstücke und mitunter auch Wohnräume man schauen kann, ohne technisches Wissen, nur über eine Googlesuche. Die Leute scheinen zu glauben dass Sicherheit nicht nötig ist.
3. Schöne neue Welt
chuckal 15.01.2016
Und eines Tages übernehmen Quanten rechner die Welt, erkennen die Menschheit als existenzbedrohend und dann beginnt der Krieg der Maschinen. Mein Garagentor hat neulich schon nach mir geschnappt.
4.
garfield 15.01.2016
Ja, Panik, Panik. Sicher sind die Kameras ungeschützt. Aber dazu müssten "Interessenten" erst mal die (externen) IP-Adressen der Internetanschlüsse, hinter deene die Kameras hängen, bzw. deren DynDNS-Adressen kennen. Bei meiner jedenfalls werden die einmal eingegebenen (WLAN-) Passwörter nur als Sterne angezeigt. Sollte das bei Maginon tatsächlich anders sein?
5. Ist
Mr_Steve 15.01.2016
ja wohl das erste was man macht..... also das Passwort ändern ;-) Habe 2 von diesen Cams.... aber Updates gibt es nicht bei supra-electronics.
Alle Kommentare öffnen
    Seite 1    

© SPIEGEL ONLINE 2016
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH



Zum Autor
  • Jörg Breithut sucht von Stuttgart aus nach Themen im Internet. Und schreibt sie dort auch wieder rein.

  • Blog von Jörg Breithut


Anzeige
  • Christian Stöcker:
    Spielmacher

    Gespräche mit Pionieren der Gamesbranche.

    Mit Dan Houser ("Grand Theft Auto"), Ken Levine ("Bioshock"), Sid Meier ("Civilization"), Hideo Kojima ("Metal Gear Solid") u.v.a.

    SPIEGEL E-Book; 2,69 Euro.

  • Bei Amazon kaufen.
Der kompakte Nachrichtenüberblick am Morgen: aktuell und meinungsstark. Jeden Morgen (werktags) um 6 Uhr. Bestellen Sie direkt hier: