Stell dir vor: Du kaufst dir eine Cloud-Überwachungskamera, bequem mit Handy-App. Als besorgter Elternteil stellst du sie z.B. im Kinderzimmer oder Wohnzimmer auf – schließlich verspricht der Hersteller, alles sei sicher. Statt dein Kind zu schützen, hast du es damit einem großen Risiko ausgesetzt: Kinderpornografie. Fremde können auf die Kamera zugreifen, suchen Nacktaufnahmen heraus und verkaufen sie an Pädophile. Vor solchen Szenarien wurde lange gewarnt, nachdem oft das Motto Digitalisierung First, Bedenken Second zu lauten schien. Nun gibt es gleich mehrere Fälle, in denen dies nachweislich geschehen ist.
Hikvision: Kameras werden systematisch für illegale Pornografie missbraucht
Der aktuellste Fall ereignete sich Mitte 2023 und wurde durch eine investigative Recherche von IPVM entdeckt: Sie stießen auf ein professionelles Netzwerk, das die Hik-Connect-App1 von Hikvision nutze. Damit sollen Käufer in Echtzeit über die Cloud des Herstellers auf ihre Überwachungskameras zugreifen können. Durch mangelhafte Absicherung war das jedoch auch anderen möglich. Kunden hatten diese an verschiedensten Orten eingesetzt, darunter auch viele sensible. Die Angreifer schauten sich an, was auf den gekaperten Kameras zu sehen war und gruppierten das Material zum Verkauf. Darunter viele Nacktaufnahmen: Neben Kinderpornografie aus z.B. Kinderzimmern wurden „Familienzimmer“, das „Schlafzimmer eines jungen Mädchens“, Umkleideräume und Stripclups angeboten. Auch in eine gynäkologische Arztpraxis konnte jeder intime Einblicke erleben, der die Kriminellen dafür bezahlte. Laut IPVM sind dies nur Beispiele, es gab noch viel mehr. Leider konnte ich die originale Quelle nicht vollständig lesen: Sie steckt hinter einer Bezahlschranke, für die mindestens 199 US-Dollar (etwa rund 186 Euro) fällig werden. Der öffentlich verfügbare Teil gibt dennoch bereits einen Eindruck davon, dass in die intimsten (Privat-) Räume der Betroffenen massivst eingedrungen wurde und erheblicher Missbrauch stattgefunden hat.234
Sie setzten dafür auf die Messenger-Plattform Telegram und boten die Aufnahmen in mindestens sieben bekannten Kanälen an. Bereits zwei Tage nach Veröffentlichung der Recherche hatte Telegram die Kanäle gelöscht. Damit war dieser Verkaufsweg zwar nicht mehr verfügbar. Laut IPVM konnten jedoch weiterhin unbefugte die gehackte App missbrauchen, um unbefugt auf die Aufnahmen zuzugreifen. Der Hersteller der Kameras hatte sich weder zu den Vorwürfen geäußert, noch selbst eine Erklärung abgegeben.5 Das FBI wurde bereits vorab informiert. Weitere Quellen, die offenbar Zugriff auf den kompletten Artikel haben, sprechen von Kanälen mit mehreren hundert bis über 7.000 Abonnenten. Für 3 bis 6 US-Dollar konnten interessierte Zugriff auf die gehackten Kameras erlangen.6
Wie angespannt die Stimmung zwischen Hikvision und IPVM ist, zeigte ein Brief des Hersteller an seine Partner: Er wurde am 07. Juli 2023 verfasst, also wenige Tage vor der Veröffentlichung. Darin ist die E-Mail eines IPVM-Reporters zitiert, worin der Journalist das Unternehmen über die Recherche vorab informiert und um eine Stellungnahme bat. Hikvision wirft IPVM über Jahre hinweg einseitige und böswillige Anfragen vor, die keine Antwort verdient hätten. Nun habe man aber keine andere Wahl, als eine Ausnahme zu machen, da IPVM eine zutiefst beunruhigende Geschichte veröffentlichen wolle. Dies sei der Versuch, auf Kosten des Schutzes gefährdeter Kinder eigene Ziele voran zu treiben. Bis zu dieser E-Mail habe man nichts von dem Thema gewusst. Angesichts der moralischen Verwerfungen und des rechtlichen Risikos werde man nicht versuchen, die begrenzten Informationen zu prüfen. Man hoffe, dass IPVM auf eine Fälschung hereingefallen sei. Hikvision habe die Strafverfolgungsbehörden informiert und unterstellt IPVM mehrmals mehr oder weniger direkt, dies nicht getan zu haben. Eine weitere Stellungnahme zu den Vorwürfen will der Hersteller nicht abgeben.7
Hikvision und die (Un-) Sicherheit
Hikvision betitelt seine Webseite mit „Führend in der Zukunft des AIoT“ und sieht sich selbst als Teil einer Vision, um „die Sicherheit zu erhöhen“. Diese Vision scheint nicht erst nach den jüngsten Sicherheitsmängeln in der Hik-Connect-App in weiter Ferne zu liegen: 2021 entdeckte ein Sicherheitsforscher CVE-2021-36260. Eine schwere Schwachstelle (CVSS Score 9,8/10), mit der man Vollzugriff (Root-Rechte) auf das Betriebssystem der Kamera bekam. Sie erforderte keine Anmeldung und war recht leicht auszunutzen, sofern man die Web-Oberfläche erreichen kann (z.B. weil diese ohne zusätzliche Schutzmaßnahmen über das Internet erreichbar gemacht wurde).
Ironischerweise sind das höhere Rechte, als der Besitzer selbst bekommt – hier schränkte der Hersteller die mögliche Funktionalität ein. Um das Ausmaß zu verdeutlichen: Angreifer können damit selbstverständlich Zugriff auf die Videoaufnahmen erhalten. Schon das wäre ein massives Problem, doch ist hier „nur“ die Spitze vom Eisberg: Der Angreifer kann beliebigen Schadcode ausführen: Betreiben eines Botnetzes oder anderer krimineller Aktivitäten im Name des Anschlussinhabers, Manipulationen im Netzwerk, Einstiegspunkt für andere verwundbare Geräte und noch vieles mehr. Betroffen war nicht nur ein Modell, sondern über 80 (!) Hikvision Kameras. Damals wurde von über 70 gesprochen, der Hersteller listet in Quelle 11 jedoch mehr als 80 auf. Mindestens bei Teilen davon besteht die Lücke seit 2016, also zum Zeitpunkt des Fundes satte 5 Jahre. Offenkundig ein Totalschaden mit neuer Quantität in jeglicher Hinsicht.89
Selbst mit den Updates, die der Hersteller im September 2021 veröffentlichte10, war dieser nicht behoben: Auch knapp ein Jahr später fanden Sicherheitsforscher im August 2022 noch über 80.000 (!) verwundbare Kameras von Hikvision im Internet.11 Die US-Behörde für Cybersicherheit und Infrastruktursicherheit (CISA) listet CVE-2021-36260 zusammen mit 14 weiteren im Januar 2022 als schwerwiegendste bekannte Schwachstellen, welche aktiv ausgenutzt werden.12 Das Ausmaß war so groß, dass der Hersteller scheinbar überfordert damit war, alle betroffenen Kunden zu erreichen.
Dabei ist er keineswegs ein kleines Unternehmen: Vom Marktforschungsunternehmen IHS Markit wurde Hikvision sieben Jahre in Folge jeweils als Nummer 1 Unternehmen der Videoüberwachungsbranche eingestuft, mit einem weltweiten Marktanteil von etwa 22,6%. Über 34.000 Angestellte arbeiten im Unternehmen, dessen Produkte über 150 Länder erreichen.13
Nicht der Erste Missbrauchsfall
Mit großer Macht geht große Verantwortung einher und wo ein Trog ist, sammeln sich die Schweine. Diese Weisheiten treffen auch auf das Internet zu: 2021 wurde ein Brite verhaftet, nachdem er sich unbefugten Zugriff auf die Kameras von mehr als 70 Familien weltweit (u.a. aus Brasilien, den USA, Großbritannien, Kanada) verschaffte. Dadurch hat er über 1.000 Bilder und 1.000 Videos von nackten Kindern erhalten. Sie wurden für Geld verkauft oder gegen andere Aufnahmen von den Kunden getauscht. Im Unterschied zum Hikvision wurden hier jedoch soweit bekannt nicht gezielt die Kameras eines Herstellers angegriffen. Dennoch haben entweder Hersteller oder Käufer durch schwere Sicherheitsmängel diesen Missbrauch ermöglicht.14
Ein ADT-Techniker (Großes US-Unternehmen für elektronische Sicherheit, Brandschutz und weitere Schutzmaßnahmen in diesem Gebiet) gab zu, unbefugt über 9.600 Mal auf etwa 200 Kundenkonten unbefugt zugegriffen zu haben. Er merkte sich, wo attraktive Frauen wohnten und sah sie sich auf den Videos nackt an, teilweise auch beim Sex mit Partnern. In diesem Falle war jedoch keine Schwachstelle in der Software verantwortlich. Der Täter richtete sich bei seiner Arbeit heimlich eine Hintertür für sich selbst ein, um Zugriff zu erhalten.15
Fazit: Das „S“ in IoT steht nach wie vor für sicher
Proprietäre IoT-Geräte sind seit Jahren ein Sicherheitsrisiko,16 weil es für die Hersteller keine Motivation gibt – im Gegenteil: Sicherheit kostet Zeit & Geld, viele Kunden möchten es schnell & billig.17 Leider bekommen das nicht nur Käufer (die sich teils nicht um die Wartung/Absicherung kümmern) zu spüren, wie dieser Fall zeigt: Oft sind auch unbeteiligte betroffen – teilweise sogar die schwächsten in unserer Gesellschaft.
Es ist daher empfehlenswert, ausschließlich geschlossene Black-Box-Systeme zu meiden. Man muss dem Hersteller vertrauen und hat kaum Möglichkeiten zu überprüfen, wie ernst der die Sicherheit wirklich nimmt. Oft ist es nur ein leeres Werbeversprechen. Das merkt man meist aber erst, wenn es zu spät ist. Zumindest sollte man sie nicht in sensiblen Bereichen einzusetzen, von anderen Geräten zu isolieren und keinen direkten Internetzugang ermöglichen. Damit werden die Risiken nicht aufgelöst, jedoch zumindest reduziert. Das verursacht Aufwand und kostet Komfort. Auch wer glaubt, „nichts zu verbergen“ zu haben, sollte sich jedoch fragen, ob er so etwas sich selbst und im schlimmsten Falle noch seiner Familie antun möchte. Ich wünsche das selbst dem naivsten Menschen nicht.
Quellen
- Hik-Connect – for End User
https://play.google.com/store/apps/details?id=com.connect.enduser ↩︎ - Child Pornography On Sale From Hacked Hikvision Cameras Using Current Hik-Connect App
https://ipvm.com/reports/cp-sale-hack ↩︎ - Report: Hikvision cameras hacked, feeds sold as child porn on social media
https://www.securityinfowatch.com/cybersecurity/article/53066863/report-hikvision-cameras-hacked-feeds-sold-as-child-porn-on-social-media ↩︎ - Hacked Hikvision cameras allegedly found to expose children’s bedrooms and gynecology offices
https://www.business-humanrights.org/en/latest-news/hacked-hikvision-cameras-allegedly-found-to-expose-childrens-bedrooms-and-gynecology-offices/ ↩︎ - Telegram Terminates Channels Marketing Child Pornography, No Response From Hikvision
https://ipvm.com/reports/telegram-channels ↩︎ - Babyphone-Kameras werden gehackt, Filmmaterial wird wegen Pornografie verkauft
https://www.koha.net/de/Boot/385810/Baby%C3%BCberwachungskameras-werden-gehackt%2C-Filmmaterial-wird-f%C3%BCr-Pornografie-verkauft/ ↩︎ - https://www.hikvision.com/content/dam/hikvision/uk/marketing-portal/catalogues/Partner-Letter-on-IPVMs-July-2023-Inquiry.pdf ↩︎
- HIKVISION CAMERAS COULD BE REMOTELY HACKED DUE TO CRITICAL FLAW
https://securityaffairs.com/122474/hacking/hikvision-cve-2021-36260-flaw.html ↩︎ - Unauthenticated Remote Code Execution (RCE) vulnerability in Hikvision IP camera/NVR firmware (CVE-2021-36260)
https://watchfulip.github.io/2021/09/18/Hikvision-IP-Camera-Unauthenticated-RCE.html ↩︎ - Security Notification – Command Injection Vulnerability in Some Hikvision products
https://www.hikvision.com/en/support/cybersecurity/security-advisory/security-notification-command-injection-vulnerability-in-some-hikvision-products/security-notification-command-injection-vulnerability-in-some-hikvision-products/ ↩︎ - Over 80,000 exploitable Hikvision cameras exposed online
https://www.bleepingcomputer.com/news/security/over-80-000-exploitable-hikvision-cameras-exposed-online/ ↩︎ - CISA alerts federal agencies of ancient bugs still being exploited
https://www.bleepingcomputer.com/news/security/cisa-alerts-federal-agencies-of-ancient-bugs-still-being-exploited/ ↩︎ - Hangzhou Hikvision Digital Tech
https://www.dbs.com.sg/treasures/aics/stock-coverage/templatedata/article/equity/data/en/DBSV/012014/002415_CH.xml#:~:text=Hikvision%20has%20been%20ranked%20No,global%20video%20surveillance%20market%20share. ↩︎ - British man is arrested in Spain over claim he hacked into home security cameras of more than 70 families around the world to steal more than 1,000 pictures of naked children
https://www.dailymail.co.uk/news/article-9706253/British-man-arrested-claim-hacked-cameras-steal-thousands-naked-children-pictures.html ↩︎ - ADT Technician Pleads Guilty to Hacking Home Security Footage
https://www.justice.gov/usao-ndtx/pr/adt-technician-pleads-guilty-hacking-home-security-footage ↩︎ - IP-Kamera: Risiko für Privatsphäre und Sicherheit
https://www.dr-datenschutz.de/ip-kamera-risiko-fuer-privatsphaere-und-sicherheit/ ↩︎ - Wenn Überwachungskameras zum Risiko werden
https://www.avira.com/de/blog/wenn-ueberwachungskameras-zum-risiko-werden
↩︎