Ungesicherte IP Überwachungskameras via Google anzapfen

Überwachungskameras können oft ohne das Wissen der Betreiber über das Internet angezapft werden. Mit bestimmten Google-Befehlen lassen sich tausende solcher Kameras finden und teilweise sogar steuern. Dabei handelt es sich nicht um private Webcams die gewollt bei Justin.tv oder Chatroulette eingesetzt werden, sondern um Überwachungskameras von Firmen, Schulen oder öffentlichen Plätzen.  Mit den richtigen Suchbefehlen findet Google haufenweise dieser, eigentlich nicht für die öffentlichkeit bestimmten, Kameras.

Mehr Infos und die Suchbefehle nach dem Break.

Die Kameras sind ans Internet angeschlossen, damit das Wartungspersonal sie aus der Ferne überprüfen kann. Meist sind diese Bereiche der Webseiten Passwort geschützt – bzw. versteckt sich die Kamera URL hinter einer kryptischen Adresse die nicht direkt verlinkt ist. Meistens sind die Sicherheitsmechanismen nur stümperhaft implementiert, und der Google Crawler findet die Links um sie dann wie gewohnt dem Index hinzuzufügen.


Sicherheitslücke seit 2004 bekannt

Geändert hat sich bis heute gar nichts. Google spuckt nach Eingabe eines der unten aufgeführten Suchbefehle immer noch seitenweise Links zu ungeschützen Überwachungskameras aus. Die Schuld ist aber nicht bei den Herstellern, sondern den Administratoren zu suchen. Nachdem es 2007 umfangreiche Threads auf Szeneboards wie 4Chan gab, haben alle Kamerahersteller reagiert und die Software der Kameras mit Sicherheitsmodulen ausgestattet.

Allerdings scheinen sich auch Sicherheitsfirmen der Lücke oft nicht bewusst zu sein, denn selbst wenn eine Kamera mit einem Passwort gesichert ist, dann ist es häufig noch das Standard Passwort welches sich auf den Webseiten der Kamerahersteller nachschlagen lässt.

Interessante Kamera-Links könnt ihr gerne in den Kommentar posten.

Die Suchanfragen

inurl:/viewerframe?mode=motion
inurl:/view/index.shtml
inurl:“ViewerFrame?Mode=“
inurl:netw_tcp.shtml
intitle:“supervisioncam protocol“
inurl:CgiStart?page=Single
inurl:indexFrame.shtml?newstyle=Quad
intitle:liveapplet
inurl:LvAppl
inurl:/showcam.php?camid
inurl:video.cgi?resolution=
inurl:image?cachebust=
intitle:“Live View / – AXIS“
inurl:view/view.shtml
intext:“MOBOTIX M1″
intext:“Open Menu“
intitle:snc-rz30
inurl:home/
inurl:“MultiCameraFrame?Mode=“
intitle:“EvoCam“
inurl:“webcam.html“
intitle:“Live NetSnap Cam-Server feed“
intitle:“Live View / – AXIS 206M“
intitle:“Live View / – AXIS 206W“
intitle:“Live View / – AXIS 210″
inurl:indexFrame.shtml Axis
inurl:“ViewerFrame?Mode=“
inurl:“MultiCameraFrame?Mode=Motion“
intitle:start
inurl:cgistart
intitle:“WJ-NT104 Main Page“
intext:“MOBOTIX M1″
intext:“Open Menu“
intext:“MOBOTIX M10″
intext:“Open Menu“
intext:“MOBOTIX D10″
intext:“Open Menu“
intitle:snc-z20 inurl:home/
intitle:snc-cs3 inurl:home/
intitle:snc-rz30 inurl:home/
intitle:“sony network camera snc-p1″
intitle:“sony network camera snc-m1″
intitle:“Toshiba Network Camera“ user login
intitle:“netcam live image“
intitle:“i-Catcher Console – Web Monitor“
inurl:/home/home
inurl:“view/index.shtml“
inurl:“MultiCameraFrame?Mode=“
inurl:“axis-cgi/mjpg“

Both comments and pings are currently closed.

Comments are closed.