Es ist nicht die erste Lücke in Samsungs SmartCam, die es erlaubt, das System zu übernehmen, Die erste derartige Lücke steckte im Webinterface der Kamera und wurde letzten August bei der DEFCON 22 veröffentlicht. Um diese Lücke zu schließen, hat man bei Samsung entschieden, das lokale Webinterface der Kameras abzuschalten, so dass eine Steuerung der Kameras danach nur noch über Samsungs SmartCloud möglich.
Vom abgeschalteten Webinterface blieben aber Teile auf der Kamera zurück und zwar einige PHP-Skripte, über die Firmware-Updates installiert werden sollen. Hier gibt es einen Command Injection Bug, also einen Fehler, der es einem Angreifer ermöglicht, eigenen Code auf der Kamera auszuführen. Neben einem Demo-Video gibt es auch eine ausführliche Beschreibung der Schwachstelle und zwei Beispiel-Exploits. Wer sich ein wenig mit PHP auskennt, der wird möglicherweise „Anfängerfehler“ rufen, denn am Ende basiert der ganze Angriff darauf, dass an das Skript vom Nutzer übergebene Daten nicht entsprechend intensiv geprüft werden.
Für das übergebene Update-File wird gerade mal die Datei-Extension geprüft und verglichen, ob ein beim Upload vom Nutzer angegebener MD5 Hash dem entspricht, den das Skript über die Datei erzeugt. Es findet also zum Beispiel keine Prüfung einer Signatur oder ähnliches statt.
Der erste Beispiel-Exploit öffnet eine per Telnet erreichbare root-Shell auf der Kamera, über die dann der Fehler auch direkt gefixt werden kann – auch das hierfür nötige Kommando wird gleich mitgeliefert.
Der zweite Exploit reaktiviert das von Samsung deaktivierte Webinterface wieder. Dabei gilt es jedoch zu beachten, dass der alte Fehler darin nicht gefixt wurde, es möglicherweise weitere Fehler darin gibt und natürlich kann Samsung das Webinterface beim nächsten Update wieder deaktivieren.
Interessant sind solche Angriffe auf Überwachungskameras natürlich nicht nur für Spanner, die gerne mal in fremde Wohnungen schauen möchten. Denn am Ende steckt in der Kamera eben doch ein Rechner, der mehr kann, als nur Bilder von der Kamera in eine Cloud zu schieben. Als Teil eines Bot-Netzes machen sich auch solche Kameras ganz gut, da vor allem der Exploit recht einfach auszuführen und zu automatisieren ist, besteht hier eine wunderbare Gelegenheit für interessierte Kreise, einfach mal großflächig IP-Bereiche durchzuchecken und sich einiger Kameras für eigene Zwecke zu bemächtigen.
Von Samsung gibt es noch kein Update, das die Lücke schließt – aber immerhin wurde zum Exploit ja direkt eine passende Lösung geliefert.
via Engadget