summaryrefslogtreecommitdiff
path: root/updates/2019/update-nicht-verfugbar-hersteller-nicht-zu-erreichen.md
blob: 38dcd98571d5d8b29fb115f38c1578e2a9f35afd (plain)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
title: Update nicht verfügbar: Lieferant nicht zu erreichen
date: 2019-05-07 13:44:16 
updated: 2020-03-21 12:40:18 
author: linus
tags: update, pressemitteilung

Der Chaos Computer Club hat Schwachstellen in IP-basierten Überwachungskameras gefunden und dem Hersteller gemeldet. Zwar hätten sich die Software-Schwachstellen mit einem Update beseitigen lassen, der Hersteller ist aber nicht mehr in der Lage, ein Update bereitzustellen. Ein Austausch der unsicheren Geräte bleibt als einzige Option: Der Hersteller bietet ein Austauschprogramm an.

<!-- TEASER_END -->

Das Melden von gefundenen Schwachstellen in Systemen und Geräten aller
Art gehört zu den regelmäßigen stillen Aktivitäten des Chaos Computer
Clubs. So war es Routine, Ende 2018 fünf Schwachstellen in
Überwachungskameras an einen deutschen Hersteller zu melden:

-   **Hochkritisch:** CVE-2018-17558, Fixe Administrator-Benutzerkennung
    mit Befehlsausführung
-   **Kritisch:** CVE-2018-16739, Lese- und Schreibzugriff und
    Befehlsausführung als root
-   **Kritisch:** CVE-2018-17879, Direkte Ausführung von Nutzereingaben
-   **Kritisch:** CVE-2018-17878, Code-Ausführung mittels Buffer
    Overflow
-   **Schwerwiegend:** CVE-2018-17559, Unautorisierter Zugriff auf
    Video-Stream

Aufgefallen waren die Schwachstellen den CCC-Datenreisenden Ilias Morad
„\@A2nkF\_“, Alexander „twink0r“ Karl und Martin „maride“ Dessauer. Sie
betreffen netzwerkbasierte Überwachungskameras, die laut
Herstellerangabe im Zeitraum von 2010 bis 2014 vertrieben wurden. So
weit, so gewöhnlich.

Doch in diesem Fall verlief alles ganz anders: Unter Umgehung der
üblichen Phasen von Leugnen, Zorn, Verhandeln und Trauer sprang der
Hersteller ABUS direkt zur sofortigen Akzeptanz und Anerkennung der
Schwachstellen. Doch leider sah man sich inzwischen nicht mehr in der
Lage, diese zu beseitigen.

Bei der Herstellung der Geräte kam ein Digital Signal Processor eines
Drittanbieters zum Einsatz – es handelte sich also um sogenannte
„Whitelabel“-Produkte.

## **Updates nicht möglich**

Zur Erstellung eines funktionierenden Updates wird eine
Entwicklungsumgebung des taiwanesischen Produzenten *Grain Media*
benötigt. Diese war beim deutschen Hersteller nicht mehr aufzufinden.
Der taiwanesische Produzent [hatte inzwischen die Besitzer
gewechselt](http://www.grain-media.com) und konnte auch nicht mehr damit
dienen. Dass – wie bei vielen IoT-Geräten – kein Prozess für
automatische Updates bereitsteht, erschwert darüber hinaus eine
effiziente und effektive Beseitigung der Schwachstellen.

Ergebnis: Die teilweise gerade erst fünf Jahre alten Geräte können daher
nun leider nicht mehr mit Software-Updates versorgt und somit auch nicht
mehr sicher betrieben werden. Der Hersteller ABUS hat sich daher
entschieden, betroffenen Kunden ein „kostengünstiges Austauschprogramm“
anzubieten: Die technisch zwar einwandfreien, leider aber mit mehreren
kritischen Sicherheitslücken versehenen Geräte können gegen modernere
Geräte eingetauscht werden. Für die modernen Geräte stehe auch eine
zeitgemäße Update-Infrastruktur bereit, wurde dem CCC versichert.

„Wir freuen uns, dass der Hersteller die Probleme mit seinen Geräten
ernstnimmt. Ein Software-Update wäre natürlich eine sehr viel einfachere
Lösung gewesen. Nun müssen der Hersteller ABUS und seine Kunden in den
sauren Apfel beißen. Viele andere Hersteller hätten aber ihre Kunden
ganz im Regen stehen lassen“, sagte Linus Neumann, Sprecher des Chaos
Computer Clubs.

## Kein Einzelfall

Der CCC nimmt diese Anekdote aus seinem Alltag als Anlass, seinen
politischen Forderungen Nachruck zu verleihen:

1.  ***Hersteller-Haftung*** für einen fahrlässigen Umgang mit
    Software-Schwachstellen würde zu gewissenhafter gepflegten Produkten
    führen. Insbesondere im IoT-Bereich ist „fire and forget“ keine
    nachhaltige Geschäftsstrategie.
2.  ***Update-Zwang und Mindesthaltbarkeitsdatum*:** Mit dem Internet
    verbundene Geräte sollten für einen garantierten Mindestzeitraum mit
    Sicherheitsupdates versorgt werden. Das ist nicht nur eine Frage der
    IT-Security, sondern auch eine ökologische Frage.
3.  ***Open-Source-Alternativen*:** Viele IoT-Geräte könnten technisch
    problemlos mit moderner quelloffener Firmware sicherer betrieben
    werden. Das Einspielen solcher Alternativen sollte für Konsumenten
    zwingend möglich sein; insbesondere wenn der Hersteller das Produkt
    nicht mehr mit Updates versorgt.

[Diese vom CCC seit Jahren gebetsmühlenartig wiederholten Forderungen
haben wir unter anderem bereits bei den Konsultationen zur „Technischen
Richtlinie Router“ des Bundesamts für Sicherheit in der
Informationstechnik angebracht](/de/updates/2018/risikorouter). Leider
fanden wir auch dort kein Gehör. Mit dieser kleinen Anekdote hoffen wir,
auch andere Hersteller an ihre Verantwortung und an drohende hohe Kosten
zu erinnern.

## Betroffene Geräte (Herstellerangabe)

Es steht zu befürchten, dass viele Geräte unterschiedlicher Hersteller
die betroffene Firmware des Produzenten „Grain Media“ einsetzen.

Folgende Geräte des deutschen Herstellers ABUS sind betroffen.
[Informationen zum Hersteller-Austauschprogramm gibt es
hier](https://www.abus-sc.de/DE/Ueber-uns/Infopages/Austauschprogramm-fuer-Kameraserie).

1.  *Kompaktkameras:\
    *TVIP10000, TVIP10001, TVIP10005, TVIP10005A, TVIP10005B, TVIP10050,
    TVIP10051, TVIP10055A, TVIP10055B, TVIP10500, TVIP10550, TVIP11000,
    TVIP11050, TVIP11500, TVIP11501, TVIP11502, TVIP11550, TVIP11551,
    TVIP11552
2.  *Schwenk-/Neigekameras:\
    *TVIP20000, TVIP20050, TVIP20500, TVIP20550, TVIP21000, TVIP21050,
    TVIP21500, TVIP21501, TVIP21502, TVIP21550, TVIP21551, TVIP21552,
    TVIP22500
3.  *Innendome Kameras:\
    *TVIP31000, TVIP31001, TVIP31050, TVIP31500, TVIP31501, TVIP31550,
    TVIP31551, TVIP32500
4.  *Boxkameras:\
    *TVIP51500, TVIP51550
5.  *Außendomekamera:\
    *TVIP71500, TVIP71501, TVIP71550, TVIP71551, TVIP72500