Veröffentlicht inDigital Life

Hacker kapern Babycam und beobachten stillende Mutter

von Jan Pförtner

Eine Mutter aus den USA hat beobachtet, wie eine schwenkbare Babykamera selbständig ihr Bett überwachte. Jetzt untersuchten Sicherheitsforscher das Gerät und stießen dabei auf eklatante Sicherheitslücken.

Die Fredi-Kamera
Die Babykamera kann mithilfe eines P2P-Netzwerkes aus der Ferne gesteuert werden. Jetzt fanden Sicherheitsforscher heraus

Eine Frau aus den USA saß auf ihrem Bett und sah plötzlich, wie sich die Baby-Überwachungskamera während des Stillens ihres Kindes vom Gitterbett zu ihr hindrehte und sie dabei beobachtete. Später konnte sie noch feststellen, dass die Babycam noch einmal selbstständig zurückschwenkte, als sie gerade nicht am Bett saß. Am nächsten Tag in der Früh zeigte die Kamera ebenfalls auf das Bett, in dem sie geschlafen hatte, obwohl sie diese per App wieder auf das Gitterbett ihres Kindes eingestellt hatte.

„Mein Herz ist mir in die Hose gerutscht. Ich fühlte mich so verletzt“, schrieb die Mutter, die in den USA lebt und die Kamera auf Amazon gekauft hatte, in einem Facebook-Posting und erntete große Resonanz. „Irgendwer hat mich über die Kamera tagelang bei meinen intimsten und persönlichsten Momenten zwischen mir und meinem Sohn beobachtet. Ich will eigentlich nie wieder in mein eigenes Schlafzimmer zurück“, so die Mutter. „Ich hatte keine Ahnung, dass so etwas überhaupt möglich ist.“

An dieser Stelle befindet sich ein externer Inhalt von Facebook, der von unserer Redaktion empfohlen wird. Er ergänzt den Artikel und kann mit einem Klick angezeigt und wieder ausgeblendet werden.

Ich bin damit einverstanden, dass mir dieser externe Inhalt angezeigt wird. Es können dabei personenbezogene Daten an den Anbieter des Inhalts und Drittdienste übermittelt werden.

Mehr dazu in unserer Datenschutzerklärung

Unternehmen reagierte nicht

Die junge Mutter wandte sich an Amazon, um die Kontaktdaten der Firma herauszufinden, die die Kamera hergestellt hat. Doch unter der E-Mail-Adresse und Telefonnummer in China meldete sich niemand. Die einzige Option, die der Frau übrigblieb, war die komplette Deinstallation der Kamera. Dasselbe empfahl sie daraufhin auch allen anderen, die diese Kamera gekauft haben. Ein Review auf Amazon konnte sie allerdings nicht hinterlassen, weil diese Option blockiert war. „Es war ein kompletter Alptraum. Wir haben auch alle Passwörter geändert und unsere WLAN-Sicherheit verbessert“, heißt es in einem Update auf Facebook.

Keine sichere Verbindung

Die österreichischen Sicherheitsforscher von SEC Consult rund um Stefan Viehböck haben die Kamera in Folge genauer unter die Lupe genommen, um nachzuvollziehen, wie es zu dem Hack im Schlafzimmer der jungen Mutter gekommen war. Der Schlüssel dazu liegt bei der Cloud-Verbindung.

Das Gerät verbindet sich dazu mit einer Cloud-Server-Infrastuktur des Herstellers über die aktivierte Funktion „P2P Cloud“. Damit wird auch eine Remote-Verbindung in private Netzwerke ermöglicht. Wenn die Datenverbindung nicht ordnungsgemäß verschlüsselt ist, kann dabei auch jeder, der die Verbindung abfangen kann, alle ausgetauschten Daten überwachen. Die Remote-Verbindung erfolgt über das Login mit einem ID-Code und Passwort. Das Standard-Passwort bei dem Gerät, das SEC Consult untersucht hatte, lautete: 123. Dieses sei „weder zufällig noch gerätespezifisch“, heißt es in dem Blogeintrag.

Zugriff aus der Ferne

„Wenn der Benutzer das Passwort nicht von sich aus mit einem sicheren Passwort ersetzt, kann sich jeder einloggen und mit der Kamera interagieren, indem er einfach verschiedene Cloud-IDs ausprobiert“, so die Sicherheitsforscher. In der Firmware konnten zudem schon im November 2017 „Lücken in der Authentifizierung“ festgestellt werden, durch die es möglich wird, sich aus der Ferne Zugriff auf die Kamera zu verschaffen. „Obwohl der Hersteller auf diese Probleme hingewiesen wurde, sind die Schwachstellen offensichtlich nie behoben worden“, so die Sicherheitsforscher. Dies wurde im Fall der Mutter aus den USA offenbar ausgenutzt.

Der Hersteller der Kamera sitzt in China und es handelt sich bei FREDI um ein lizensiertes Standard-Produkt, das unter einer neu ins Leben gerufenen Marke verkauft wurde. SEC Consult hat die Firma, die sich um die Kamera-Software, das Hardware-Design und das Cloud-Netzwerk kümmert, ausfindig machen können: Die Firma heißt Shenzhen Gwelltimes Technology Co., Ltd. und diese ignoriert und verletzt alle geltenden Datenschutz-Gesetze. „Es bleibt ein chinesisches Unternehmen, das unsichere Produkte entwickelt und unsere privatesten Informationen zu Servern nach China schickt.“

____________________

Das könnte auch interessant sein:

____________________

Nutzer ist machtlos

Es ist nicht die erste Babycam, die zum Spion geworden ist. Das Problem an der Sache ist, dass es für Kunden nicht wirklich nachvollziehbar ist, woher ein vernetztes Produkt stammt und wie sicher es ist. Sie können diesbezüglich wenig tun. Auf der Website gibt es keinen eindeutigen Verweis nach Asien und sogar die Möglichkeit einer Kontaktadresse für den deutschsprachigen Raum. Dies lässt Nutzer erst einmal in dem Glauben, man würde sich um ihre Anliegen kümmern – auch wenn auf Mails offenbar nie jemand regiert.

„Niemand hat mich davor gewarnt, dass so etwas passieren kann“, schrieb die betroffene Mutter aus den USA. Sie wird womöglich nie wieder einer Babycam vertrauen können. Es bräuchte daher eine klarere Kennzeichnung, woher Produkte stammen sowie Sicherheitslabels, die kennzeichnen, wie schnell (und ob überhaupt) Hersteller reagieren, wenn offensichtliche Lücken entdeckt werden.

Dieser Artikel erschien zuerst auf futurezone.at

Du willst mehr von uns lesen? Folge uns auf Google News.