Sicherheitslücke Aldi-Kameras lassen sich von Fremden fernsteuern

Überwachungskameras, die bei Aldi verkauft wurden, haben offenbar ein Sicherheitsproblem: Hat man kein Passwort festgelegt, übertragen sie ihre Aufnahmen ungeschützt ins Netz - und verraten außerdem WLAN- und E-Mail-Passwörter.

Aldi-Kamera: Mehr als ein Drittel der Geräte sind online ohne Passwort erreichbar
Aldi Süd

Aldi-Kamera: Mehr als ein Drittel der Geräte sind online ohne Passwort erreichbar


Nach Recherchen des Tech-Magazins "Heise Online" sind Hunderte bei Aldi verkaufte Überwachungskameras von einer Sicherheitslücke bedroht. Die Kameras der Marke Maginon übertragen den gefilmten Bereich per Internet-Browser und App und sind im vergangenen Jahr in Filialen der Supermarktkette angeboten worden.

Betroffen sind Webcams, die im März, Juni und Dezember 2015 bei Aldi Süd und Aldi Nord angeboten wurden. Mehr als ein Drittel der im Netz erreichbaren Webcams könne man derzeit ohne Passwort kapern, ergaben Tests von "Heise Online".

Der netzpolitische Verein "Digitale Gesellschaft" aus der Schweiz hatte "Heise Online" auf die Software-Schwachstelle aufmerksam gemacht. Die Sicherheitslücke ermöglicht es Unbefugten angeblich, per Fernzugriff auf die Kameras zuzugreifen und dabei sowohl das Bild als auch den Ton anzuzapfen. Laut dem Bericht verraten die Geräte zudem das Passwort für das WLAN, mit dem die Kamera vernetzt ist, und Zugangsdaten für E-Mail-Konten und FTP-Zugänge.

Der Fehler soll sich in der standardmäßig installierten Firmware der Geräte mit der Modellbezeichnung IPC-20 C und den beiden Kameras IPC-10 AC, IPC-100 AC verbergen, die beide zusätzlich mit einem Mikrofon ausgestattet sind. Käufer der Geräte konnten diese grundsätzlich aktivieren, ohne ein Passwort einzurichten. Dieser fehlende Schutz führt allerdings dazu, dass nicht nur die Kamera-Käufer per Fernzugriff im Browser durch die Linse blicken und das Gerät schwenken können, sondern auch Unbefugte.

Firmware-Update schließt die Sicherheitslücke

"Heise Online" empfiehlt allen Kunden mit den betroffenen Geräten, so schnell wie möglich ein Passwort für den Kamera-Zugriff festzulegen. Wer seine Webcam bisher ohne Passwort eingesetzt hat, solle zudem die Zugangsdaten für WLAN, FTP-Server und E-Mail-Konten ändern. Außerdem sollte die aktuelle Firmware aufgespielt werden.

Gegenüber SPIEGEL ONLINE verweist eine Sprecherin von Aldi Süd darauf, dass in Softwareversionen von der Nummer 1.2 an der Fehler beseitigt und eine Passwortpflicht eingebaut wurde. Die neuen Versionen gebe es schon seit einigen Monaten. Man habe außerdem die Lieferanten darum gebeten, weitere Maßnahmen zu ergreifen und "prüfen, ob und wie wir unsere Kundinnen und Kunden noch deutlicher über Sicherheitsvorkehrungen informieren können".

Laut der Aldi-Sprecherin werden Nutzer der Kameras künftig beim Öffnen der Software und der App "von unserem Lieferanten erneut eine Update-Information erhalten, mit der sie nochmals explizit darauf hingewiesen werden, ein persönliches Kennwort festzulegen". Dieser Hinweis ist tatsächlich nicht unwichtig, denn die Firmware der Kameras aktualisiert sich nicht automatisch. Der Nutzer muss also selbst aktiv werden, um einem Anzapfen von Bild und Ton zuvorzukommen.

jbr

Mehr zum Thema


Forum - Diskutieren Sie über diesen Artikel
insgesamt 21 Beiträge
Alle Kommentare öffnen
Seite 1
bbär 15.01.2016
1. Mein Auto muss ich auch nicht abschließen!
Sollte ich aber. Unterlasse ich es, kann ich dem Hersteller aber keinen Vorwurf machen.
globalundnichtanders 15.01.2016
2.
Es ist grundsätzlich erschreckend, in wie viele private Grundstücke und mitunter auch Wohnräume man schauen kann, ohne technisches Wissen, nur über eine Googlesuche. Die Leute scheinen zu glauben dass Sicherheit nicht nötig ist.
chuckal 15.01.2016
3. Schöne neue Welt
Und eines Tages übernehmen Quanten rechner die Welt, erkennen die Menschheit als existenzbedrohend und dann beginnt der Krieg der Maschinen. Mein Garagentor hat neulich schon nach mir geschnappt.
garfield 15.01.2016
4.
Ja, Panik, Panik. Sicher sind die Kameras ungeschützt. Aber dazu müssten "Interessenten" erst mal die (externen) IP-Adressen der Internetanschlüsse, hinter deene die Kameras hängen, bzw. deren DynDNS-Adressen kennen. Bei meiner jedenfalls werden die einmal eingegebenen (WLAN-) Passwörter nur als Sterne angezeigt. Sollte das bei Maginon tatsächlich anders sein?
Mr_Steve 15.01.2016
5. Ist
ja wohl das erste was man macht..... also das Passwort ändern ;-) Habe 2 von diesen Cams.... aber Updates gibt es nicht bei supra-electronics.
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2016
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.