Geschrieben von Whitebird am 22.04.2025 um 14:48:
Große Sicherheitslücke bei Überwachungsgeräten der PolizeiGroße Sicherheitslücke bei Überwachungsgeräten der Polizei
Polizeibehörden in zahlreichen Ländern nutzen mobile Sender der Firma Infodraw. Doch die hochgeladenen Daten sind nicht ausreichend gesichert.
Ein Bericht
von
Friedhelm Greis
veröffentlicht am
19. April 2025, 15:00 Uhr
Polizeibehörden in zahlreichen Ländern nutzen mobile Sender der Firma Infodraw. Doch die hochgeladenen Daten sind nicht ausreichend gesichert.
Ein Bericht
von
Friedhelm Greis
veröffentlicht am
19. April 2025, 15:00 Uhr
Von Software und Geräten, die die Sicherheitsbehörden und Politiker nutzen, erwartet man eigentlich besonders hohe Sicherheitsstandards. Sonst kann es, wie im Falle der Trump-Regierung, unerwünschte Mitleser geben. Dass unsichere Systeme auch bei europäischen Behörden im Einsatz sind, hat der Sicherheitsexperte Tim Schäfers in den vergangenen Monaten aufgedeckt. Betroffen sind Systeme des israelischen Anbieters Infodraw, mit denen Audio- und Videoaufzeichnungen übertragen werden.
Schäfers stellte seine Ergebnisse am 19. April 2025 auf dem Easterhegg des Chaos Computer Club (CCC) in Hamburg vor. Details finden sich zudem in einem Blogbeitrag.
Aufmerksam auf den Hersteller wurde der Sicherheitsexperte durch Angaben der Bundesregierung zum Einsatz digitaler Überwachungsmethoden bei Polizeien und Geheimdiensten des Bundes. Zuletzt tauchte darin (PDF) im Jahr 2014 der Anbieter Vidit Systems auf. Zu dessen Kunden zählen aktuell die Polizeibehörden sämtlicher Bundesländer sowie die Bundespolizei und die Bereitschaftspolizeien der Länder.
Auf der Webseite von Vidit wird unter dem Menüpunkt Mobile kabellose Bildübertragung Infodraw genannt. Die batteriebetriebenen Sender verfügen über Video- und Audioeingänge, beispielsweise für Bodycams von Mohoc oder Gopro. Aber auch an Drohnen und Fahrzeugen lassen sich solche Überwachungssysteme befestigen.
Kunden auf fünf Kontinenten
Infodraw selbst hat nach eigenen Angaben Kunden auf fünf Kontinenten. "Unsere Geräte werden in vielen Ländern von der Polizei, bei privaten Ermittlungen, im Flottenmanagement und im öffentlichen Verkehr eingesetzt", heißt es weiter. Die Geräte nutzen eine von Infodraw entwickelte Software für die Aufzeichnung und Überwachung von Video, Audio und Standorten in Echtzeit. Darüber hinaus liefert der Anbieter eine Serversoftware für die Benutzerauthentifizierung und -autorisierung.
Das heißt: Die Kunden können den Server als On-Premises-Lösung selbst hosten. Dazu wird das Grundprogramm installiert, Media Relay System (MRS) genannt. Anschließend findet die Übertragung des Videostreams und der Dateien über das Programm selbst und den TCP-Port 12654 statt. Das wird von Infodraw in diesem Dokument(PDF) erläutert. In dem Verzeichnis Infodraw.com/docs/ finden sich weitere Anleitungen. Das Unternehmen hat zudem Clients für Windows, Android, iOS und sogar für Windows Mobile entwickelt. Die Software lässt sich frei herunterladen.
Angreifbare Systeme gefunden
Um Infodraw-Server zu finden, scannte Schäfers das Internet nach offenen Ports mit Tools wie Zmap oder Nmap. Er fand 20 bis 30 Server, auf denen das Media-Relay-System lief. Ruft man den Server auf, öffnet sich ein Anmeldefenster. Doch unter Ausnutzung der Path-Traversal- oder Directory-Traversal-Schwachstelle konnte Schäfers problemlos auf das Root-Verzeichnis gelangen. Dazu ist nur ein Login mit dem Nutzer ../../../../ erforderlich. Das ermöglichte den Zugriff auf eine XML-Datei mit dem MD5-Hash des Adminstrator-Passwortes. MD5-Hashes gelten schon seit Jahren als unsicher.
"Ich habe mir gedacht, das kann nicht wahr sein", sagte Schäfers im Gespräch mit Golem.de. Generell sei die Software so konzipiert, dass jeder Nutzer erst einmal hereingelassen werde. "Einige der aufgefundenen Systeme waren zudem in Active-Directory-Systeme integriert, was mögliche Lateral Movements oder Privilege-Eskalationen ermöglichen kann", schreibt Schäfers.
Polizei in Luxemburg und Belgien betroffen
So könnten sie sämtliche Inhalte auslesen, neue Kameras anschließen, Inhalte manipulieren und löschen oder manipulierte Firmware einspielen. Das alles ermögliche Spionage, Sabotage oder die Verfälschung der erfassten Medieninhalte, erklärte der Experte.
Schäfers fand unter anderem einen Server der Observationsgruppe Gato 2 der luxemburgischen Spezialeinheit der Polizei. Die belgische Polizei nutzte ebenfalls ein solches System, mit dem eine Polizeidrohne ausgewertet wird. Diese beiden Systeme wurden nach seinen Hinweisen inzwischen offline genommen.
Warnung an betroffene Certs verschickt
Über das Bundesamt für Sicherheit in der Informationstechnik (BSI) wurden laut Schäfers inzwischen in Deutschland alle übrigen Betreiber gewarnt. Darüber hinaus habe der Cert Bund eine sogenannte Amber-Warnung nach dem Traffic Light Protocol (TLP) an alle sonstigen betroffenen Certs weltweit verschickt. Infodraw reagierte bislang auf keinen einzigen Hinweis zu der Schwachstelle, obwohl Schäfers über mehrere Kanäle an das Unternehmen herangetreten ist.
Ihm zufolge reicht es nicht aus, die aktuelle Softwareversion 7.1.0.0 installiert zu haben. Wobei aktuell relativ ist, denn die Version stammt aus dem Jahr 2000. Schäfers empfiehlt den nutzenden Organisationen, die Anwendung unmittelbar offline zu nehmen. Sollte das nicht möglich sein, sollten Systeme durch zusätzliche Maßnahmen weiter abgeschirmt werden, beispielsweise durch Anwendung eines VPN oder spezifischer IP-Freischaltungen.
Ohnehin erscheint die On-Premises-Lösung fast schon ein bisschen anachronistisch, weil Hersteller immer häufiger eigene Cloudlösungen anbieten. Allerdings setzen gerade Sicherheitsbehörden oder das Militär verstärkt auf eigene Systeme, um sicherzustellen, dass die Daten innerhalb des Landes bleiben.
Zudem hat Schäfers' Recherche gezeigt, dass die Betreiber es mit Sicherheitsupdates für ihre Server ebenfalls nicht so genau nehmen. So stieß er auf ein System in Albanien mit einer Windows-Betriebszeit von fünf Jahren und acht Monaten. Das deutet zumindest auf eine stabile Stromversorgung hin.
Hacker verfügten durch die Lücken über zahlreiche Möglichkeiten.
quelle: golem.de
