Zertifikate für Zugriff auf mydlink Kameras über Webbrowser

12 Juli, 2018

Kürzlich hat D-Link erfahren, dass zwei seiner Code Signing Zertifikate missbraucht wurden. Diese werden eingesetzt, wenn Sie über einen Browser auf die Weboberfläche einer mydlink Kamera zugreifen, um die Bewegungserkennung zu konfigurieren. Ebenfalls betroffen ist der Zugriff auf mydlink Netzwerk-Video-Rekorder über die Weboberfläche an einem Mac.  

Wir haben den Vorfall umgehend untersucht und die betroffenen Zertifikate am 3. Juli 2018 zurückgezogen, um einen möglichen Missbrauch mithilfe der Malware PLEAD zu verhindern.

Die wichtigsten Informationen für Sie in Kürze

  •  Firmware Updates mit aktualisierten Zertifikaten werden demnächst veröffentlicht.
  •  Eine Übersicht dazu finden Sie weiter unten unter "BETROFFENE GERÄTE FIRMWARE UPDATES UND WEITERE HINWEISE"
  •  Bis dahin können Sie die Bewegungserkennung für Ihre Kamera per App (mydlink Lite,  mydlink+ oder mydlink) einrichten.
    Nähere Informationen dazu unter „Wie kann ich die Bewegungserkennung für meine mydlink Kamera dennoch einrichten?“
  •  Sobald ein Firmware Update für Ihre Kamera / Ihren Netzwerk-Video-Rekorder bereit steht, erhalten Sie eine Benachrichtigung in der mydlink Lite / mydlink+ / mydlink App.
    Alternativ können Sie sich über folgenden Link informieren: http://de.mydlink.com/download.
  •  Wenn Sie auf den Zugriff über einen Webbrowser angewiesen sind, können Sie die Einstellungen dort kurzzeitig so ändern, dass dieser keine Zertifikatsprüfung durchführt.
    Beachten Sie dazu die Informationen unter „Empfehlungen“.

I. ALLGEMEINE INFORMATIONEN

Wozu werden Code Signing Zertifikate benötigt?

Code Signing Zertifikate sollen die seriöse Herkunft und Vertrauenswürdigkeit von Java-Anwendungen und -Applets verifizieren. Stößt ein Webbrowser bei der Zertifikatsprüfung auf einen nicht signierten Code, wird (je nach den Sicherheitseinstellungen des Browsers) ein Warnhinweis angezeigt oder aber die Inhalte können nicht geladen werden. Im oben beschriebenen Fall betrifft das die Einrichtung der Bewegungserkennung über einen Webbrowser.

Wie kann ich die Bewegungserkennung für meine mydlink Kamera dennoch einrichten?

Bitte nutzen Sie dafür die mydlink Lite / mydlink+ / mydlink App. Falls Sie bisher noch nicht per App auf Ihre mydlink Kamera zugegriffen haben, installieren Sie bitte die mydlink App. Sie finden diese im App Store (LINK) bzw. in Google Play (LINK).

Demnächst wird eine neue Firmware mit einem aktualisierten Zertifikat veröffentlicht.
Damit können Sie die Weboberfläche wieder nutzen.

Sie sind auf einen Webbrowser angewiesen? Dann können Sie die Zertifikatsüberprüfung in Windows bzw. Mac OS in JAVA kurzzeitig deaktivieren. Nähere Informationen finden Sie weiter unten unter „Empfehlungen“. Aus allgemeinen Sicherheitsgründen ist es wichtig, dass Sie die Zertifikatsprüfung unmittelbar nach dem Zugriff auf Ihre Kamera wieder aktivieren.

 

Hintergründe

Eine Cyber-Spionage Gruppe hat die PLEAD Malware genutzt, um vertrauliche Informationen von einigen Unternehmen und Organisationen aus Ostasien, insbesondere aus Taiwan, Japan und Hongkong zu stehlen. Im Zuge dessen hat sie Zertifikate missbraucht, damit die Malware als legales Programm durchgeht.

 

Informationen zu den Zertifikaten: Akkreditierung und Koordinaton

  1. Anton Cherepanov, Senior Malware Researcher, ESET, llc.
  2. Trend Micro Incorporated

Folgende Zertifikate wurden zurückgezogen:

  1. sha1RSA certificate

Ausgestellt von Symantec Class 3 SHA256 Code Signing CA

Seriennummer: 01 a5 86 a9 5b 44 60 9e 9f ae 25 f9 27 79 62 d6

sha1 Zertifikatsfingerabdruck: 28 b7 4f b9 84 ee 71 e6 e4 04 dc c8 ce 0d c9 0d 77 43 bf a9

Gültig vom 22. Juni 2018, 08:00 AM PST (GMT -8:00) bis 21. September 2018, 07:59:59 AM PST (GMT -8:00)

 

  2. sha1RSA certificate

Ausgestellt von Symantec Class 3 SHA256 Code Signing CA

Seriennummer: 13 03 03 e4 57 0c 27 29 09 e2 65 dd b8 59 de ef

sha1 Zertifikatsfingerabdruck: f0 f5 58 b8 1a f3 e9 83 a4 12 a0 f7 c8 0a c7 2a 1f ce 0c 0a

Gültig vom 30. September 2016 8:00 AM PST (GMT -8:00) bis 01. Oktober, 2019 07:59:59 AM PST (GMT -8:00)


II. BETROFFENE GERÄTE, FIRMWARE UPDATES UND WEITERE HINWEISE

Übersicht - welche Geräte sind betroffen und wann steht ein Firmware Update bereit? 

Gerät

Hardware Revision

Aktuelle
Firmware Version

Patch
Firmware Version

 DNR-312L*

 Ax

 V1.07.09

 V1.07.10

 DNR-322L*

 Ax

 V2.4b03

 V2.5b01

 DNR-322L*

 Bx

 V3.01.04

 V3.01.05

 DNR-2020-04P*

 Ax

 V1.02.06

 V1.02.07

 DNR-326*

 Ax

 V2.6b01

 V2.7b01

 DCS-935L

 A1

 1.11

 1.12

 DCS-960L

 A1

 1.06

 1.07

 DCS-6005L

 A1

 1.01

 1.02

 DCS-5000L

 Ax

 1.03

 1.04

 DCS-5009L

 Ax

 1.08

 1.09

 DCS-5010L

 Ax

 1.14

 1.15

 DCS-5020L

 Ax

 1.14

 1.15

 DCS-5030L

 Ax

 1.04

 1.05

 DCS-6045L

 Ax

 1.02

 1.03

 DCS-930L

 Ax

 1.16

 1.17

 DCS-930L

 Bx

 2.15

 2.16

 DCS-932L

 Ax

 1.14

 1.15

 DCS-932L

 Bx

 2.16

 2.17

 DCS-933L

 Ax

 1.14

 1.15

*Mac-Nutzer haben über die Weboberfläche derzeit keinen Zugriff auf die unten aufgeführten Netzwerk-Video-Rekorder (DNR-x, hier ist nur das JAVA Webbrowser Plug-In betroffen).
Dies wird mit der neuen Firmware wieder möglich sein.

 

Weitere Hinweise:

  1. Richten Sie die Bewegungserkennung Ihrer Kamera bis auf Weiteres per App ein.
    Die zurückgerufenen Zertifikate beziehen sich lediglich auf den entsprechenden Zugriff über die Weboberfläche einer Kamera in einem Webbrowser.

  2. Für betroffene Modelle wird eine neue Firmware mit aktualisierten Zertifikaten entwickelt. Sobald es für Ihre registrierte(n) Kamera(s) ein Firmware Update gibt, erhalten Sie eine Benachrichtigung in der mydlink App. Wenn Sie die App nicht nutzen, können Sie hier prüfen, obeine neue Firmware-Version für Ihre Kamera bereit steht: http://de.mydlink.com/download.

Wenn Sie auf den Zugriff über einen Webbrowser angewiesen sind, können Sie die Einstellungen in Windows bzw. MAC OS kurzzeitig so ändern, dass keine Zertifikatsprüfung vorgenommen wird. Bitte beachten Sie, dass Zertifikate für jegliche anderen JAVA-Anwendungen/-Applets dann nicht auf ihre Vertrauenswürdigkeit/Herkunft geprüft werden. Aus allgemeinen Sicherheitsgründen ist es wichtig, dass Sie die Zertifikatsprüfung unmittelbar nach dem Zugriff auf Ihre Kamera wieder aktivieren.

Für Mac OSX:

Systemeinstellungen > Java > Erweitert > Zertifikatsentzugsprüfungen zu signiertem Code ausführen für > Nicht prüfen (nicht empfohlen)




Für Windows:

"Java konfigurieren" starten > Erweitert > Zertifikatsentzugsprüfungen zu signiertem Code ausführen für > Nicht prüfen (nicht empfohlen)




Produktsicherheit und der Schutz von Kundendaten sind D-Link ein sehr wichtiges Anliegen. Unsere internationale Task Force und das Produktmanagement-Team reagieren direkt auf aufkommende Sicherheitsfragen und sorgen für die schnellstmögliche Umsetzung der erforderlichen Maßnahmen. D-Link wird beim Einsatz seiner neuen digitalen Zertifikate kontinuierlich Updates bereitstellen.