• Folge Uns
    • Facebook
    • Twitter
    • Youtube
    • Flipboard
  • ENG
Mobilegeeks
  • Videos
  • Cars
  • Connected Life
  • IoT
  • Smartphones
  • Hardware
  • Tests
  • Podcast
  • Videos
  • Cars
  • Connected Life
  • IoT
  • Smartphones
  • Hardware
  • Tests
  • Podcast
Powered By GDATA
Powered By GDATA
Previous Story
Test in Schweden: Rettungswagen schalten Autoradio ...

von Carsten Drees

Next Story
Umi Plus im Test - ein vielversprechender Chinese ...

von Andreas Voetz (ehemaliger Autor)

Umi Plus Caller

Samsung SmartCam angreifbar – schon wieder

Schon wieder wurde eine Lücke in Samsungs SmartCam gefunden, die es einem Angreifer erlaubt, die Kontrolle über die IP-Kamera zu übernehmen. Der Exploit ist gut dokumentiert, es wird auch erklärt, wie man die Lücke schließen kann.

von Carsten Dobschat am 18. Januar 2017
  • Email
  • @dobschat

Es ist nicht die erste Lücke in Samsungs SmartCam, die es erlaubt, das System zu übernehmen, Die erste derartige Lücke steckte im Webinterface der Kamera und wurde letzten August bei der DEFCON 22 veröffentlicht. Um diese Lücke zu schließen, hat man bei Samsung entschieden, das lokale Webinterface der Kameras abzuschalten, so dass eine Steuerung der Kameras danach nur noch über Samsungs SmartCloud möglich.

Vom abgeschalteten Webinterface blieben aber Teile auf der Kamera zurück und zwar einige PHP-Skripte, über die Firmware-Updates installiert werden sollen. Hier gibt es einen Command Injection Bug, also einen Fehler, der es einem Angreifer ermöglicht, eigenen Code auf der Kamera auszuführen. Neben einem Demo-Video gibt es auch eine ausführliche Beschreibung der Schwachstelle und zwei Beispiel-Exploits. Wer sich ein wenig mit PHP auskennt, der wird möglicherweise „Anfängerfehler“ rufen, denn am Ende basiert der ganze Angriff darauf, dass an das Skript vom Nutzer übergebene Daten nicht entsprechend intensiv geprüft werden.

Für das übergebene Update-File wird gerade mal die Datei-Extension geprüft und verglichen, ob ein beim Upload vom Nutzer angegebener MD5 Hash dem entspricht, den das Skript über die Datei erzeugt. Es findet also zum Beispiel keine Prüfung einer Signatur oder ähnliches statt.

Der erste Beispiel-Exploit öffnet eine per Telnet erreichbare root-Shell auf der Kamera, über die dann der Fehler auch direkt gefixt werden kann – auch das hierfür nötige Kommando wird gleich mitgeliefert.

Der zweite Exploit reaktiviert das von Samsung deaktivierte Webinterface wieder. Dabei gilt es jedoch zu beachten, dass der alte Fehler darin nicht gefixt wurde, es möglicherweise weitere Fehler darin gibt und natürlich kann Samsung das Webinterface beim nächsten Update wieder deaktivieren.

Interessant sind solche Angriffe auf Überwachungskameras natürlich nicht nur für Spanner, die gerne mal in fremde Wohnungen schauen möchten. Denn am Ende steckt in der Kamera eben doch ein Rechner, der mehr kann, als nur Bilder von der Kamera in eine Cloud zu schieben. Als Teil eines Bot-Netzes machen sich auch solche Kameras ganz gut, da vor allem der Exploit recht einfach auszuführen und zu automatisieren ist, besteht hier eine wunderbare Gelegenheit für interessierte Kreise, einfach mal großflächig IP-Bereiche durchzuchecken und sich einiger Kameras für eigene Zwecke zu bemächtigen.

Von Samsung gibt es noch kein Update, das die Lücke schließt – aber immerhin wurde zum Exploit ja direkt eine passende Lösung geliefert.

via Engadget

Trending Cars
  • Tesla Model 3
  • Opel Ampera-e
  • Tesla Model X
  • Porsche Mission E
Automarken
  • Mercedes-Benz
  • Tesla
  • Audi
  • Volkswagen – VW
  • BMW
  • Ford
  • Porsche
  • Opel
Heiss diskutiert
Frische Lebensmittel von morgen stammen von Dächern vieler Großstädte
von Felix Baumann
Frische Lebensmittel von morgen stammen von Dächern vieler Großstädte
Warum du einen Dark Web Monitor brauchst [Werbung]
von Nicole
Warum du einen Dark Web Monitor brauchst [Werbung]
Die Häuser der Zukunft leisten einen wichtigen Beitrag zur Dekarbonisierung
von Felix Baumann
Die Häuser der Zukunft leisten einen wichtigen Beitrag zur Dekarbonisierung
Wie ich durch deutsche Onlineshops die Vorteile von Amazon sah
von Felix Baumann
Wie ich durch deutsche Onlineshops die Vorteile von Amazon sah
Related Video
video
Microsoft Family Safety – Kindersicherung jetzt auch von Microsoft
Die IT-Sicherheitsprognosen für 2017
Security
Ähnliche Artikel
Standortdienste: Diese Informationen verrät euer Smartphone über euch
23. Februar 2021
Standortdienste: Diese Informationen verrät euer Smartphone über euch
Global Privacy Control möchte bald das bessere “Do Not Track” werden
2. Februar 2021
Global Privacy Control möchte bald das bessere “Do Not Track” werden
Google will Drittanbietercookies durch Browserverlauf-Analyse abschaffen
29. Januar 2021
Google will Drittanbietercookies durch Browserverlauf-Analyse abschaffen
Diese Signal-Einstellungen sorgen für eine noch bessere Privatsphäre
19. Januar 2021
Diese Signal-Einstellungen sorgen für eine noch bessere Privatsphäre
Neueste Tests
8.7
Insgesamt bekommt man für den Preis wirklich gut funktionierendes und zuverlässiges Sicherheitssyste ...
Smartes Sicherheits-Set – Egardia und Philips Hue im Test
2. Juli 2018
Smartes Sicherheits-Set – Egardia und Philips Hue im Test
9.1
Für den persönlichen Gebrauch ist Lima Ultra eine hervorragende Lösung, um jederzeit Zugriff auf die ...
Lima Ultra – persönlicher Cloud-Speicher im Test
6. März 2017
Lima Ultra – persönlicher Cloud-Speicher im Test

Fernweh

Wir beschäftigen uns mit den Themen und der Technik von Morgen und Übermorgen - Von Smartcities über Sharing-Economy bishin zur Mobilität der Zukunft

Heiss diskutiert
Frische Lebensmittel von morgen stammen von Dächern vieler Großstädte
von Felix Baumann
Frische Lebensmittel von morgen stammen von Dächern vieler Großstädte
Warum du einen Dark Web Monitor brauchst [Werbung]
von Nicole
Warum du einen Dark Web Monitor brauchst [Werbung]
Die Häuser der Zukunft leisten einen wichtigen Beitrag zur Dekarbonisierung
von Felix Baumann
Die Häuser der Zukunft leisten einen wichtigen Beitrag zur Dekarbonisierung
Wie ich durch deutsche Onlineshops die Vorteile von Amazon sah
von Felix Baumann
Wie ich durch deutsche Onlineshops die Vorteile von Amazon sah
Hubs
  • Laptops
  • Magazin
  • Smart Cars
  • Smartphone
  • Tablets
  • Wearables
Weitere Themen
  • OnePlus 5
  • Samsung Galaxy S8
  • LG G6
  • Microsoft Surface Laptop
  • Amazon Blitzangebote
  • Adblock Plus
  • Testberichte (Archiv)
  • ASUS
  • Microsoft
  • Apple
  • Sitemap
Intern
  • Sponsoring und Werbung
  • Über uns
  • Sponsorenübersicht
  • Impressum
  • Datenschutzerklärung
FOLGE UNS
Copyright © 2021 Mobilegeeks.de, Alle Rechte vorbehalten