Sicherheitsforscher haben eine Schwachstelle in einem beliebten Video-Babyphone entdeckt, die es Fremden ermöglichen könnte, sich das Material der Kamera anzusehen und sogar die Kontrolle über das Gerät aus der Ferne zu übernehmen.
Auf den ersten Blick scheint ein intelligentes Babyfon eine gute Idee für frisch gebackene Eltern zu sein, die ihre Kinder mit einer Smartphone-App im Auge behalten wollen. Wenn die Sicherheitsmaßnahmen nicht richtig umgesetzt werden, können sie jedoch leider ein ernstes Risiko für die Privatsphäre darstellen.
Experten von Bitdefender* (in Zusammenarbeit mit PCMag*) entdeckten eine bdeutende Schwachstelle beim iBaby-Monitor M6S, der es Dritten ermöglicht, auf gespeicherte Dateien zuzugreifen, persönliche Informationen zu erhalten und die Kamera selbst zu übernehmen.
Ein Blick in die Firmware des Geräts zeigte, dass die Kamera zwar starke Verschlüsselungsstandards verwendet, diese aber nicht richtig implementiert sind. Die Kamera sendet verschlüsselte Daten über HTTPS an die iBaby-Server, aber das Sicherheitszertifikat ist nicht validiert, so dass es durch einen Man-in-the-Middle-Angriff (auch Janusangriff genannt) abgefangen werden kann.
Was kannst du dagegen tun?
Wie wahrscheinlich ist es, dass jemand eine solche Schwäche ausnutzt? Vielleicht wahrscheinlicher, als du erwarten würdest.
Bei einer Sicherheitsdemonstration für die Freigabe der Bitdefender Box* hat TechRadar gesehen, wie leicht es ist, eine schlecht gesicherte IP-Kamera zu finden und fernzusteuern. Es ist bemerkenswert einfach und erfordert keine Expertenausrüstung und wenig Spezialwissen.
Viele Kameras sind sogar noch anfälliger als der iBaby-Monitor, dank Problemen wie hartcodierten Administrator-Logins und Firmware, die auf altem Open-Source-Code mit gut publizierten Schwächen basiert.
Bitdefender und TechRadar haben sich mit iBaby in Verbindung gesetzt, aber bisher hat das Unternehmen noch nicht geantwortet. Hoffentlich wird es bald auf die Ergebnisse der Forscher reagieren und ein Update herausgeben, das die Schwachstelle behebt, aber im Moment besteht die einzige "Lösung" darin, das Gerät vom Netzwerk zu trennen.
'Internet der Dinge'-Geräte sind enorm nützlich, aber es zahlt sich aus, vorsichtig zu sein. Es ist ratsam, nur Produkte von bekannten Marken zu kaufen, die sich an strenge Standards halten (und halten werden). Installiere immer alle Firmware-Aktualisierungen, sobald sie verfügbar sind, und abonniere E-Mail-Benachrichtigungen des Unternehmens, damit du schnell informiert bist, wenn etwas schief geht.
Es lohnt sich auch, in eine Hardware-Firewall* zu investieren, die den ein- und ausgehenden Netzwerkverkehr für all deine Geräte überwacht und dich benachrichtigt, wenn etwas ungewöhnlich aussieht.
So kannst du deine Kinder mit einem smarten Babyphone im Blick behalten - und kannst dir sicher(er) sein, dass kein anderer über sie wacht.
* Link englischsprachig
