D-Link-Firmware-Fehler können IP-Video-Stream-Spionage ermöglichen

Wenn Sie eine Bank betreiben und eine IP-Videokamera von D-Link verwenden, sollten Sie darauf achten.

Eine Reihe von IP-basierten Überwachungskameras Die von D-Link erstellten Sicherheitslücken haben Firmware-Schwachstellen, die es einem Angreifer ermöglichen könnten, den Video-Stream abzufangen, so die Sicherheitsforscher.

Core Security, ein auf Schwachstellenerkennung und -forschung spezialisiertes Unternehmen mit Sitz in Boston, veröffentlichte am Montag Einzelheiten zu fünf Sicherheitslücken in der D-Link-Firmware, die in mindestens 14 seiner Produkte enthalten ist.

[Lesen Sie weiter: Die besten Überspannungsschutz für Ihre teure Elektronik]

D-Link macht eine Vielzahl von Internet-verbundenen Kameras, die es verkauft an Unternehmen und Verbraucher. Die Kameras können Bilder und Videos aufnehmen und über webbasierte Bedienfelder gesteuert werden. Live-Feeds können auf einigen Mobilgeräten angezeigt werden.

Eines der verwundbaren Modelle, das DCS-5605 / DCS-5635, verfügt über eine Bewegungserkennungsfunktion, die D-Link in seinen Marketingmaterialien als gut für Banken empfiehlt. Krankenhäuser und Büros.

Die Forscher von Core Security fanden heraus, dass es möglich war, ohne Authentifizierung einen Live-Video-Stream über das RTSP (Echtzeit-Streaming-Protokoll) sowie eine ASCII-Ausgabe eines Videostreams in den betroffenen Modellen zu erhalten. RTSP ist laut der Internet Engineering Task Force ein Anwendungsprotokoll für die Übertragung von Echtzeitdaten.

Die Forscher fanden auch ein Problem mit dem webbasierten Kontrollfeld, das es einem Hacker erlauben würde, beliebige Befehle einzugeben. In einem anderen Fehler, D-Link hart-codierte Anmeldeinformationen in die Firmware, die "effektiv als Hintertür dient, die Remote-Angreifer auf den RTSP-Video-Stream zugreifen können", sagte Core Security in seinem Advisory.

Die technischen Details werden beschrieben in einem Beitrag in der Full Disclosure Section von Seclists.org, zusammen mit einer Liste der bekannten betroffenen Produkte, von denen einige von D-Link auslaufen.

Core Security notifizierte D-Link des Problems am 29. März, nach einem Protokoll der Interaktion der beiden Unternehmen in der Veröffentlichung auf Full Disclosure enthalten. Das von Core geschriebene Protokoll enthält interessante Details darüber, wie die beiden Unternehmen übereinstimmten und anscheinend einige Meinungsverschiedenheiten hatten.

Laut Core gab D-Link an, dass es ein "unveröffentlichtes Prämienprogramm für Sicherheitsanbieter" habe. Viele Unternehmen haben Programmfehler, die Forscher mit Geld oder anderen Anreizen belohnen, um Sicherheitsprobleme in ihren Produkten zu finden und sie zu informieren, bevor sie die Details veröffentlichen.

Um den 20. März bat D-Link, dass Core Security ein "Memo of Understanding" unterzeichnet als Teil des Programms, das Core abgelehnt hat. Die Bedingungen des Memos wurden nicht beschrieben. Core sagte gegenüber D-Link, "dass das Empfangen von Geld von Verkäufern die Sichtweise des Berichts beeinträchtigen könnte."

Die beiden Unternehmen hatten einen weiteren kleinen Run-in. D-Link sagte Core, dass es die Patches und Anleitungen veröffentlichen werde, um die Probleme im D-Link Support Forum zu beheben. D-Link würde dann einen Monat warten, bevor er eine öffentliche Ankündigung macht.

Core Security mochte diesen Vorschlag nicht. Am vergangenen Mittwoch bat Core D-Link "um eine Klarstellung bezüglich des Veröffentlichungsdatums von D-Link und teilt mit, dass das Freigeben von Fixes an eine privilegierte geschlossene Gruppe und / oder ein geschlossenes Forum oder eine Liste inakzeptabel ist."

D-Links Forum hat ein Login-Feld, aber es scheint, dass jeder viele der Beiträge sehen kann, ohne sich zu registrieren. D-Link kam einen Tag später zurück und sagte, dass Patches fertig seien und in den nächsten Tagen auf seiner Website veröffentlicht würden, schrieb Core.

D-Link reagierte nicht sofort auf Anfragen nach einem Kommentar. Es war aus dem Support-Forum des Unternehmens unklar, ob die Firmware-Updates öffentlich veröffentlicht worden waren.

Core Security schrieb seinen Forschern Francisco Falcon, Nahuel Riva, Martin Rocha, Juan Cotta, Pablo Santamaria und Fernando Miranda die Probleme zu.