Sicherheitsproblem bei Aldis WLAN-Kamera

Bei den Überwachungskameras, die von Aldi verkauft wurden, gibt es anscheinend eine massive Sicherheitslücke. Da in den vorkonfigurierten Geräten kein Passwort für den Fernzugriff festgelegt ist, können Angreifer ohne Probleme auf die Kamera zugreifen und sogar das WLAN-Passwort auslesen.

Die IP-Überwachungskameras der Marke Maginon, die von den Discountern Aldi und Hofer in Deutschland, Schweiz und Österreich verkauft wurden, weisen eine schwere Sicherheitslücke auf. So verfügen die Modelle »IPC-10«, »IPC-100 AC« und »IPC-20 C« über einen Fernzugriff, der bei der Inbetriebnahme des Geräts nicht mit einem Passwort gesichert werden muss. Der Fernzugriff erlaubt es dem Nutzer auf die Aufnahmen via Browser oder App zuzugreifen. Ohne einen Passwortschutz können jedoch auch Unbefugte die Kamera im Internet finden und auf die Bilder zugreifen. Neben den Bildaufnahmen können Angreifer auch auf das Mikrofon zugreifen sowie die Kamera schwenken und so den überwachten Bereich verändern. Ausgestattet mit einem Infrarot-LED können die betroffenen Modelle auch in der Dunkelheit sehen.

Die Sicherheitslücke bietet Dritten nicht nur einen Einblick in die Privatsphäre des Nutzers, sondern liefert auch weitere brisante Daten. So kann das unverschlüsselte WLAN-Passwort sowie - falls vorhanden – die Zugangsdaten für die Mailadresse oder den FTP-Server des Anwenders ausgelesen werden. Von der Sicherheitslücke sind sämtliche Kameras betroffen, die im Zeitraum März, Juni und Dezember von Aldi Süd oder Aldi Nord in Deutschland verkauft wurden.

Nutzern wird geraten, die aktuellste Firmware zu installieren und ein Passwort für den Fernzugriff festzulegen. Dabei müssen die Besitzer selbst tätig werden, da die Aktualisierung der Software nicht automatisch erfolgt. In der Version 1.2 wurde laut Aldi Süd eine Passwortpflicht für den Fernzugriff eingebaut. Anwendern, die bisher kein Kennwort verwendet haben, sollten ihre Login-Daten für ihr E-Mail-Konto sowie ihren FTP-Server ändern.