Sicherheitslücken in Millionen von IoT-Geräten wie Überwachungskameras entdeckt

Die Cybersicherheitsfirma Mandiant hat mehrere Sicherheitslücken in der IoT-Plattform Kalay von ThroughTek entdeckt. Sie machen Millionen von Geräten angreifbar, darunter Sicherheitskameras, smarte Babyfons und andere Geräte zur Videoaufzeichnung. Hacker können unter Umständen aus der Ferne die Kontrolle über betroffene Geräte übernehmen und Audio- und Videoaufzeichnungen live abhören.

Die Schwachstelle mit der Kennung CVE-2021-28372 wird als kritisch bewertet. Im Common Vulnerability Scoring System erreicht sie 9,6 von 10 möglichen Punkten. Einer gemeinsamen Sicherheitswarnung von Mandiant, ThroughTek und der US-Cybersecurity-Behörde CISA zufolge sollten Nutzer die neue Version 3.1.10 des Kalay-Protokolls einsetzen, um ihre Geräte und auch Netzwerke vor Angriffen zu schützen.

Den Forschern gelang es, Throughtek-Bibliotheken, die den offiziellen Apps im Apple App Store und Google Play Store entnommen wurden, mit einer selbst entwickelten Implementierung des Kalay-Protokolls zu kombinieren. Anschließend waren sie in der Lage, Funktionen wie die Erkennung und Registrierung von Geräten vorzunehmen, aus der Ferne Verbindungen herzustellen und Audio- und Videodaten zu verarbeiten.

Mithilfe eines ebenfalls selbst erstellten Interface für die Verarbeitung von Kalay-Anfragen und -Antworten fanden die Forscher schließlich mehrere Sicherheitslücken. Um ein Gerät zu registrieren, benötigten sie lediglich dessen Unique Identifier (UID). Diese Registrierung überschreibt Mandiant zufolge eine vorhandene Registrierung, was einem Angreifer zu vollständige Kontrolle über ein Geräte gewährt.

“Sobald ein Angreifer UIDs erhalten hat, kann er Client-Verbindungen zu sich selbst umleiten und Authentifizierungsdaten für das Gerät erhalten. Von dort aus könnte ein Angreifer das Video des Geräts ansehen, den Ton des Geräts abhören und das Gerät je nach Gerätefunktionalität möglicherweise weiter kompromittieren”, sagte Erik Barzdukas, Manager of Proactive Services by Mandiant.

Mandiant weist zudem darauf hin, dass kompromittierte Geräte in Enterprise-Umgebungen möglicherweise Informationen liefern, die Einbrüche in deren Netzwerke erlauben. Die Forscher gehen auch davon aus, dass sich einige Geräte auch zu Botnetzen hinzufügen lassen, um DDoS-Angriffe zu starten.

Mandiant war nach eigenen Angaben nicht in der Lage, eine vollständige Liste mit betroffenen Geräten zusammenzustellen. ThroughTek gibt an, das weltweit rund 83 Millionen internetfähige Geräte über das Kalay-Network verbunden sind.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die Redaktionen von Silicon.de und ZDNet.de. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

IT 2025: IT-Führungskräfte erwarten massiven KI-Ruck

Einsatz von KI-Lösungen wirbelt auch in deutschen Unternehmen die Liste der Top-Technologieanbieter durcheinander.

2 Tagen ago

Sofortzahlungen im Wandel: Sicherheit und KI als treibende Kräfte

Echtzeitüberweisungen erfüllen die Erwartungen der Nutzer an Geschwindigkeit, sind jedoch anfällig für spezifische Sicherheits- und…

3 Tagen ago

Blockaden und Risiken bei APM-Projekten vermeiden

Application Portfolio Management (APM) verspricht Transparenz, mehr IT-Leistung und Effizienz – theoretisch.

4 Tagen ago

BSI-Bericht: Sicherheitslage im Cyberraum bleibt angespannt

Im Berichtszeitraum Mitte 2023 bis Mitte 2024 wurden täglich durchschnittlich 309.000 neue Schadprogramm-Varianten bekannt.

5 Tagen ago

KI-Hype in der Cybersicherheit – oder besser doch nicht?

KI kommt in der Cybersicherheit zum Einsatz, etwa um Abweichungen im Netzwerkverkehr zu identifizieren. Ist…

5 Tagen ago

Netzwerksegementierung schützt vor Angriffen über die OT

Ungepatchte und veraltetete Maschinen-Software ist ein beliebtes Einfallstor für Hacker, warnt Nils Ullmann von Zscaler…

6 Tagen ago