Hooepage Cybersecuritv Cyberpace Menschen
Nachrichtendienste kybernetische Waffen Bildung
Internet der Dinge Probleme Beschreibung M e d i z i nSicherheitsrisiken Humor-Risiken
Internet der Dinge

Einführende Bemerkungen

Google Chromecast. IoT hacking für Anfänger

IP-Kamera

Risiko: volle Kontrolle über die Kamera von einem Angreifer

Risiko: Gott-Modus – kann ein Angreifer mit Kamera-Firmware tun

Kommunikation mit dem Lieferanten

Kommunikation mit Lieferanten

Home-Security System Vs Physik

Bewegungssensor

Schlussfolgerungen

Aus wirtschaftlicher Sicht ist es noch unklar, warum Cyberkriminelle angeschlossenen Heimgeräte angreifen würde.


Securelist Page  5 Page  3

Überleben in einer  IoT-fähigen Welt


Gewusst wie:

verwenden Sie intelligente Geräte und

bleiben Sie sicher vor Hackern



Ausgabe drei
Risiko: Gott-Modus – kann ein Angreifer mit Kamera-Firmware tun

Der dritte Punkt entdeckten wir während der Untersuchung unserer Smartphone-gesteuerte Kamera nicht in der app aber in der Kamera selbst wohnte. Und das Problem ist recht einfach: eine Fabrik-Root-Passwort für SSH in der Firmware. Es ist einfach, weil die Kamera auf Linux läuft und das Root-Passwort ermöglicht Gott-Modus für wer hat Zugriff auf das Gerät und das Passwort kennt. Sie können nichts mit Kamera-Firmware: ändern, wischen Sie es – alles andere. Alle der Angreifer tun muss, um das Passwort zu extrahieren ist herunterladen und Extrahieren der Firmware von der Webseite des Anbieters (obwohl der Angreifer im gleichen Netz mit dem angegriffenen Gerät, rufen die URL aus dem wird die Firmware heruntergeladen werden müsste), entpacken Sie es und folgen Sie diesem Pfad: \\ubifs\\home/.config. Da ist es: im Klartext.
CONFIG_ *** _ROOT_PASSWORD = "sVGhNBRNyE57″
CONFIG_ *** _ROOT_PASSWORD = "GFg7n0MfELfL"
Was mehr sorgen ist, dass, wenn sie ein Linux-Experte sind, es gibt keine Möglichkeit für einen unerfahrenen Benutzer entfernen oder ändern dieses Kennwort selbst.
Warum das SSH Passwort war es ist uns ein Rätsel, aber wir haben einige Vorschläge. Der Root-Zugriff wäre von Nutzen für Entwickler und Experten des technischen Supports in einer Situation, wo ein Kunde ein unerwartetes technisches Problem stößt, das nicht über das Telefon behoben werden könnten. In diesem Fall könnte ein Spezialist aus der Ferne an die Kamera anschließen, die SSH-Kennwort verwenden, um Root-Zugriff zu erhalten und ein Problem zu beheben. Offensichtlich ist dies eine gängige Praxis für neue Modelle von solchen Geräten, die Fehler enthalten können, die nicht entdeckt wurden und auf die Pre-Release-Phase festgelegt. Wir die Firmware von einigen anderen Kameras bei einem alternativen Anbieter angeschaut und entdeckt auch SSH Passwörter drin. So ist die Geschichte: Entwickler verlassen das SSH-Kennwort in der Firmware, um die Fähigkeit haben, und dort unerwartete Fehler zu beheben, und wenn eine stabile Version der Firmware freigegeben wird sie nur vergessen zu entfernen oder das Kennwort zu verschlüsseln.
Unsere zweite Empfehlung ist, dass sie einfach vergessen, dass es dort war. Wie wir bei unseren Recherchen entdeckt, wird der Teil der Vorrichtung SSH Passwörter – den Chipsatz-Fundort in der Regel von einem Drittanbieter geliefert. Und der Fremdanbieter Hersteller lässt die SSH-Kennwort in die Kamera standardmäßig für Bequemlichkeit, um sicherzustellen, dass der Hersteller des Endproduktes (Babyphone) die Fähigkeit hat, tune up der Chipsatz und es mit anderen Hard- und Software zu verbinden. Also der Verkäufer dies tut und dann einfach vergisst das Kennwort entfernen. So einfach wie es klingt.
Status: behoben