Cybersicherheit just now0Zu Lesezeichen hinzufügen

Ein unabhängiger Forscher veröffentlicht die Analyse einer Kasa-Kamera, die seit 2019 auf nicht signierte UDP-Anfragen reagierte und die GPS-Koordinaten des Zuhauses preisgab. Eine Klasse von Fehlern, die eigentlich verschwunden sein sollte.
Ein öffentlicher GitHub-Repository (BadChemical/IoT-Vulnerability-Research-Public), der auf Hacker News weitergeleitet wurde, dokumentiert eine Schwachstelle, die die TP-Link-Kamera Kasa EC71 betrifft, eine öffentliche Wi-Fi-Innenkamera.
Das dokumentierte Verhalten:
Auswirkung: Geolokalisierung des Zuhauses jedes Nutzers der betroffenen Kamera, mindestens im LAN ausnutzbar, über das Internet ausnutzbar, wenn der Port geöffnet ist (schlechte NAT-Konfiguration, aggressives UPnP, schlecht segmentierte Gästefunknetze).
Dauer der Exposition: Laut dem Bericht ist die Funktion seit dem anfänglichen Firmware vorhanden, also etwa sechs Jahre.
Dieser Typ von Fehler fällt in die Kategorie CWE-306 (Fehlende Authentifizierung für kritische Funktionen) - ein Klassiker im öffentlichen IoT, aber der hat im Jahr 2026 keine Entschuldigung mehr. Zwei Designfehler summieren sich:
Der Bericht gibt keine zugewiesene CVE bis zum heutigen Tag in den öffentlichen Auszügen an - zu beobachten bei den TP-Link Advisories und bei NVD. Der Verkäufer wurde möglicherweise benachrichtigt; der Zustand des Patches ist zum Zeitpunkt des Schreibens nicht bestätigt.
In der Praxis ist die am stärksten exponierte Person diejenige, die ihre Kamera zu Hause verwendet und ihr Wi-Fi teilt (WG, Airbnb, geteiltes Büro). Das missbräuchliche Szenario: Ein Gast erhält die GPS-Koordinaten von seinem Telefon, indem er einige UDP-Pakete sendet.
Handlungsrahmen sofortige Maßnahmen:
Kasa EC71 oder Varianten desselben Firmware. Das Modellschild befindet sich auf der Rückseite oder unter der Kamera.Der ursprüngliche Bericht ist öffentlich:
Wir werden das Auftreten einer CVE und eines korrigierenden Firmware beobachten. Wenn die Schwachstelle ohne verfügbaren Patch bestätigt wird, bleibt die vorsichtigste Empfehlung die Kamera abzustecken oder sie auf einem VLAN ohne ausgehende Route zu isolieren.
Zu beachten: Wenn ein verbundenes Objekt auf UDP ohne Authentifizierung hört, ist es wahrscheinlich fehlerhaft. Dieser spezifische Fall ist nicht das schlimmste Szenario (kein RCE, kein exponierter Video-Stream), aber die Geolokalisierung eines Zuhauses sind keine Daten, die man auf die leichte Schulter nehmen sollte.
Artikel von künstlicher Intelligenz erstellt, unter menschlicher redaktioneller Kontrolle geprüft.
Melden Sie sich an, um an der Diskussion teilzunehmen.
Soyez le premier à commenter.