Experten von Kaspersky Lab haben mehrere eklatante Sicherheitslücken in Verkehrsüberwachungskameras gefunden und eine bedenkliche Sorglosigkeit bei der Konfiguration dieser Geräte festgestellt. Auch in zahlreichen weiteren Geräten, die in sogenannten “Smart-City”-Szenarien zum Einsatz kommen, insbesondere diverse Bedienterminals mit Touchscreen, wurden als unsicher entlarvt.
Über eine zunächst allgemeine und dann verfeinerte Suchanfrage an die Internet-der-Dinge-Suchmaschine “Shodan” haben die Kaspersky-Experten im ersten Schritt die IP-Adressen von Verkehrsüberwachungskameras ermittelt. Durch Muster in der Struktur dieser IP-Adressen – sie befanden sich in jeder Stadt in einem Subnetz – war es ihnen dann möglich, weitere Geräte zu finden, die in den Suchergebnissen bei Shodan nicht aufgelistet wurden, sich aber in den selben Subnetzen wie bereits ermittelte Kameras befanden. Diese und benachbarte Subnetze wurden dann auf offene Ports hin untersucht. Dabei fand sich den Sicherheitsforschern zufolge “eine Vielzahl solcher Geräte”.
Nachdem ihnen bekannt war, welche Ports offen sind, prüften sie ob einer von für das Real-Time Streaming Protocol RTSP verantwortlich ist. Dieses Protokoll ermöglicht entweder die Übertragung im privaten Modus, also nur nach Log-in und Passwort, oder öffentlich. Zum Erstaunen der Kaspersky-Forscher konnte auf viele Geräte aber ohne Anmeldung zugegriffen werden: “Wir waren reichlich überrascht, als wir feststellten, dass es kein Passwort gab und der Videostream für jeden Nutzer frei verfügbar war, der mit dem Internet verbunden ist. Öffentlich wird nicht nur der Videostream übertragen, sondern auch zusätzliche Daten, unter anderem auch die geografischen Koordinaten der Kameras.”
Außerdem fanden sie noch “eine Menge” offener Ports auf diesen Geräte, über die sich “viele interessante technische Informationen” abgreifen ließen, etwa eine Liste der internen Subnetze des Kamerasystems und die Hardware der Kamera. Da die auch über drahtlose Kanäle angesprochen und umprogrammiert werden können und außerdem eine Geschwindigkeitsüberschreitung nur auf bestimmten Fahrspuren registrieren können, ließe sich die Überwachung aus der Ferne zu einer gewünschten Zeit an einer gewünschten Stelle für einen Fahrstreifen gezielt abschalten.
Kriminelle könnten diese Möglichkeiten nach Ansicht von Kaspersky ausnutzen, um sich nach Gesetzesübertretungen im fließenden Verkehr zu: “Sie können die Registrierung von Fahrzeugen auf bestimmten Fahrstreifen oder allen Fahrbahnen ihrer Route deaktivieren, die Polizei überwachen, die sie verfolgt, und vieles mehr”, so Vladimir Dashchenko, Sicherheitsexperte bei Kaspersky Lab. Zudem könnten sich Verbrecher Zugriff auf die Datenbank der als gestohlen gemeldeten Fahrzeuge verschaffen, dort Kennzeichen hinzufügen oder – was natürlich noch interessanter wäre – auch Nummer aus dem Verzeichnis löschen. Die Betreiber der betroffenen Kameras, vier Städte in Russland, wurden bereits benachrichtigt. Grundsätzlich dürften ähnliche Angriffsszenarien aber auch in anderen Ländern und auch in Deutschland möglich sein.
Im Rahmen der jetzt vorgelegten Kaspersky-Studie zu Sicherheitslücken in Smart-City-Konzepten https://de.securelist.com/analysis/veroffentlichungen/71964/fooling-the-smart-city wurde auch ausführlich untersucht, wie sicher die oft mit Touchscreens eingerichteten Terminals für Zwecke wie Ticket-Buchung am Flughafen, Ausleihen von Fahrrädern oder Informationsterminals von Behörden sind. Als ein Ansatzpunkt für Angreifer wurde dabei die Tatsache ausgemacht, dass in den Terminals ein gewöhnlicher PC steckt, der auf seine spezielle Aufgabe lediglich dadurch vorbereitet wurde, dass er im sogenannten Kiosk-Modus läuft.
Mit dieser interaktiven grafischen Shell soll für Anwender der Zugriff auf Betriebssystemfunktionen gesperrt und auf eine vom Betreiber vorgegebene Auswahl an Möglichkeiten eingeschränkt werden. Soweit die Theorie. Allerdings zeigte sich in der Praxis, dass vielfach – und oft durch Fehlkonfigurationen – die Rechner nicht ausreichen davor geschützt sind, dass Nutzer mit etwas technischem Know-how den Kioskmodus mehr oder weniger unsanft beenden und dann auf alle Funktionen des Betriebssystems zugreifen können.
Das gelingt im Wesentlichen auf zwei Wegen, die als “Tap Fuzzing” oder “Data Fuzzing” bezeichnet werden. Beim Tap Fuzzing wird durch geschicktes aber nicht korrektes Aufrufen des Kontextmenü über den Touchscreen eines der Standardmenüs des Betriebssystems (Drucken, Hilfe, Eigenschaften) und darüber wiederum die Bildschirmtastatur aufgerufen. Damit bekommt der Angreifer Zugriff auf die Befehlszeile und damit auch alle Daten und Funktionen.
Bei dem einer HTML Injection bei Websites grundsätzlich ähnlichen Data Fuzzing wird dasselbe Ziel nur auf anderem Wege erreicht: Dabei werden in das dem Nutzer zur Interaktion angebotenen Feld Daten eingegeben, die Fehler des Kiosk-Modus hervorrufen. Das funktioniert zwar nur dann wenn, wenn der Entwickler der Vollbild-App die Filter zur Überprüfung einzugebenden Daten nicht korrekt konfiguriert hat. Das ist aber so wie früher eine Zeit lang bei den massenhaft für HTML Injection anfälligen Websites offenbar regelmäßig der Fall.
Ebenfalls auf eine unsaubere Implementierung zurückzuführen ist die Möglichkeit bei Kiosk-Diensten, die zum Beispiel Google Maps als Widget nutzen, auf darin enthaltene Links klicken zu können, die sich dann in einem neuen Browserfenster öffnen. Wiederum bekommen so Unbefugte die Möglichkeit, auf Funktionen des Standardmenüs des Betriebssystems zuzugreifen und darüber auf alle Daten auf dem Rechner. Die Sicherheitssituation wird nach Erfahrung der Kaspersky-Experten noch dadurch erheblich verschlimmert, dass zahlreiche der im Kiosk-Modus betrieben Rechner – unnötigerweise -unter einem Administratorkonto laufen. Damit stehen dem Angreifer dann wirklich alle Türen offen.
Bau- und Fertigungsspezialist investiert in die S/4HANA-Migration und geht mit RISE WITH SAP in die…
Trends 2025: Rasante Entwicklungen bei Automatisierung, KI und in vielen anderen Bereichen lassen Unternehmen nicht…
DHL Supply Chain nutzt generative KI-Anwendungen für Datenbereinigung und präzisere Beantwortung von Angebotsanforderungen (RFQ).
Marke mtu will globale Serviceabläufe optimieren und strategische Ziele hinsichtlich Effizienz, Nachhaltigkeit und Wachstum unterstützen.
IT-Infrastruktur-Trends 2025: Open-Source-Projekte sowie aufwändige regulatorische und Pflichtaufgaben werden das Jahr prägen.
IT-Systeme werden vor Ort in einem hochsicheren IT-Safe betrieben, ohne auf bauliche Maßnahmen wie die…