So eine Kamera in der eigenen Bude kann sehr nützlich sein. Das gilt für die Cams, mit denen ihr sicherstellt, dass niemand euer Haus betritt, der dort nichts zu suchen hat, aber natürlich auch für die Baby-Monitore, mit denen ihr überwachen könnt, ob euer Nachwuchs friedlich schläft. Genau so komfortabel diese IoT-Hardware oftmals ist, so anfällig ist sie aber auch für Hacker-Attacken.
Ganz neu ist diese Info natürlich nicht — auch wir haben hier schon über das Hacken von Connected Devices berichtet, egal ob es Vibratoren oder Toiletten sind. Das Problem bei all diesen Smart Devices ist grundsätzlich, dass man in punkto Sicherheit noch meilenweit von den Standards entfernt ist, die für uns bei Notebooks oder Smartphones längst üblich sind.
Ein Lied davon singen kann jetzt auch die US-Amerikanerin Jamie Summitt. Die musste nämlich auf sehr unschöne Art und Weise feststellen, wie unsicher Smart-Home-Technik oftmals ist. Sie hat(te) eine chinesische Baby-Cam des Herstellers Fredi im Einsatz, die ihr für knapp 36 Euro unter dem Namen „FREDI 720P HD WLAN Wifi LAN IP“ auch in Deutschland bei Amazon bestellen könnt. Den Partner-Link erspare ich euch an dieser Stelle mal.
Die junge Frau hat sich die Cam gekauft, weil es so unfassbar praktisch klang: Für wenig Geld erhält man eine Kamera, die man per App um 360 Grad drehen kann. Sie hat also nicht nur das Baby-Bett mit dem Nachwuchs im Blick, sondern kann auch aus der Ferne das ganze Zimmer kontrollieren – egal, ob sie im Wohnzimmer sitzt oder unterwegs ist.
Dazu kommt noch, dass sie anderen Leuten gestatten kann, per App ebenfalls Zugriff auf die Kamera zu erhalten. Besonders praktisch, da ihre Schwägerin auch gerade bei der Familie wohnt. Nicht ganz so super ist es hingegen, wenn Leute die Kamera nutzen können, für die sie so gar nicht gedacht ist und genau das passierte ihr.
Sie saß eines Tages nämlich im Wohnzimmer — mit den einzigen beiden Personen, die ebenfalls Zugriff auf die Kamera haben. Dennoch konnte sie auf der App plötzlich feststellen, wie sich die Kamera ohne ihr Zutun bewegte — weg von der Wiege und zum Bett der Eltern. Genau dort sitzt sie jeden Tag, wenn sie ihr Baby stillt. Da sich niemand auf dem Bett befand, drehte die Person mit Zugriff auf die Cam diese wieder in die richtige Position, als wäre nichts gewesen.
Ihr könnt euch vorstellen, wie es in dieser Sekunde in der Mutter ausgesehen haben muss. Alle noch so privaten Momente im Schlafzimmer konnten mitverfolgt werden. Sie riefen die Polizei, die sich den Baby-Monitor auch ansah und mussten feststellen, dass sie danach keinen Zugriff mehr auf die App haben. Sie sind also aus ihrer eigenen App/Kamera ausgesperrt worden, was sie glauben lässt, dass der heimliche Beobachter durchaus mitbekommen hat, dass er aufgefallen war. Hier ist Jamies Facebook-Posting, zu dem sie sich nach reiflichem Überlegen durchringen konnte:
I’ve been debating on whether or not to make this post, but have decided to go ahead in hopes that it prevents anyone…
Gepostet von Jamie Summitt am Mittwoch, 30. Mai 2018
Sie erklärt, dass der heimische Router ordnungsgemäß verschlüsselt ist, das Problem liegt aber auch woanders: Nämlich beim Zugang zur P2P Cloud. Die Cloud-Anbindung der Kamera ist standardmäßig nur unzureichend abgesichert. Als Zugang wird eine achtstellige ID plus Passwort verlangt und das Passwort lautet standardmäßig 123. Für einen Hacker also keine besonders große Herausforderung.
Sicherheitsforscher haben darauf hingewiesen, dass der chinesische Hersteller auf die Schwachpunkte längst hingewiesen wurde, ohne dass es jedoch eine Reaktion oder gar Nachbesserung gegeben hätte. Wir haben es hier ja beileibe nicht mit dem ersten Fall zu tun, indem eine Überwachungskamera zur Spionage missbraucht wird. Das Problem ist schlicht, dass man oft nicht nachvollziehen kann, woher ein Produkt stammt und wie gut es gegen derlei Missbrauch geschützt ist.
In diesem konkreten Fall war es jedenfalls nicht offen ersichtlich, dass es sich um ein asiatisches Produkt handelt. Von Rapid7 gibt es eine Studie (PDF), in der deutlich wird, wie viele Schwachpunkte diese Baby-Monitore noch besitzen. Das Problem an dieser Misere ist einwandfrei, dass es bislang noch keinerlei Standards gibt, an denen man sich orientieren kann und bei denen auch technisch eher unbedarfte Eltern sicher sein können, dass die Technik wirklich sicher sind.
IoT ist ein hochspannendes Themenfeld und die neuen Technologien tragen dazu bei, dass unsere Leben deutlich vereinfacht werden. Gleichzeitig muss man aber auch immer wieder über Fälle wie diesen reden und erkennen, dass diese schöne neue Technik-Welt auch ihre Haken und Probleme hat.
Quelle: NPR via Futurezone und heise