Hersteller reagiert auf Hinweis von Studenten

Von: jd
Das Projektteam bei einer Exkursion mit der Hochschule Offenburg im nationalen IT-Lagezentrum des Bundesamts für Sicherheit der Informationstechnik (v.l.n.r.): Johann Betz, Thomas Vogt, Dennis Barnekow, Daniel Nussko, Philipp Rombach, Florian Losch, Dr. Christian Eibl (Leiter des Lagezentrums).

Thomas Vogt, Daniel Nussko, Florian Losch, Philipp Rombach und Dennis Barnekow, allesamt Studenten des Enterprise and IT-Security (ENITS) Masterstudiengangs an der Hochschule Offenburg, hatten im Rahmen der von Professor Dr. Dirk Westhoff betreuten Projektarbeit „Cybersecurity analysis of an IoT device“ verschiedene Kameramodelle untersucht. Diese waren bereits in der Vergangenheit häufig für Botnetze und groß angelegte „Distributed-Denial-Of-Service“-Angriffe missbraucht worden. Das machte die nun neu identifizierten Schwachstellen besonders brisant. Insgesamt neun Kameramodelle des chinesischen Herstellers Dahua könnten laut Untersuchungen der Studierenden über teils als kritisch eingestufte Sicherheitslücken attackiert und in ein Botnetz gezwungen werden. Angreifer könnten so zum Beispiel Passwörter auslesen und sogar Schadcodes ausführen.

Das Projektteam hatte Dahua in eigener „Responsible Disclosure“ (verantwortungsvoller Offenlegung) informiert und dem zuständigen Computer Security Incident Response Team (CSIRT) alle Details zu den Schwachstellen mitgeteilt. Dort wurde daraufhin mit Hochdruck an Sicherheitsupdates gearbeitet. Diese stehen nun in der offiziellen Warnmeldung zum Download bereit und müssen händisch installiert werden. Außerdem sind in der Warnmeldung weitere Informationen zu den betroffenen Kameramodellen und zu den Schwachstellen zu finden.

Zurück