Diese IoT Babysprechanlagen zu hacken ist ein Kinderspiel, verraten Forscher

Sie kaufen eine Babysprechanlage, weil Sie sich um die Sicherheit Ihres jungen Kindes sorgen und diese vor Gefahren schützen möchten.

Sowie aber mehr und mehr Überwachungsgeräte das Internet umschlungen haben, gehen wir das Risiko ein unsere Kinder an Fremde auszusetzen, die sie ausspionieren, belauschen und sogar mit ihnen reden wollen könnten.

Österreichische Sicherheitsforscher haben diese Woche vor den neuesten Babysprechanlagen gewarnt, welche von kritischen Anfälligkeiten betroffen sind, die sehr echte Datenschutzbedenken erheben.

Das Gerät im Mittelpunkt ist die Mi-Cam von miSafes, welche sich selbst als „Wi-Fi fernbedienbare Videosprechanlage für jeden“ beschreibt. Es weist eine 720P HD Video Kamera, beiderseitige Sprechfunktion und eine kostenlose lokale Videoaufzeichnung auf – alles über eine „benutzerfreundliche“ App für iPhone und Android Smartphones gesteuert.

Gemäß der Forscher von SEC Consult, hat die Mi-Cam ebenfalls eine komplett veraltete Firmware, welche für zahlreiche öffentlich bekannte Anfälligkeiten anfällig ist. Das Ergebnis ist, dass wenn man einfach eine einzige HTTP Anfrage ändert es einen Angriff ermöglichen kann um das Kinderzimmer eines Kindes auszuspionieren oder mit wem auch immer in der Nähe zu sprechen.

In ihren Analysen haben die Forscher ihre Aufmerksamkeit auf die Verbindungen zwischen der App, dem Bildschirm selbst und der Cloud Infrastruktur auf ihrer Antwort fokussiert. Sie fanden diese in zahlreichen Bereichen mangelhaft:

  1. Unterbrochenes Sitzungsmanagement & Ungesicherte direkte Objektreferenzen
  2. Fehlende Passwortänderungsverifizierungscode Nichtigerklärung
  3. Verfügbare Serienbenutzeroberfläche
  4. Schwacher Standard-Berechtigungsnachweis
  5. Aufzählung von Nutzerkonten
  6. Veraltete und anfällige Software

Und obwohl die Apps selbst nicht im Hauptinteresse der Forscher waren, fanden Sie dennoch Mängel. Zum Beispiel pflegte die Android App die Kamera zu steuern, welche ebenfalls leicht beeinträchtigt wird:

„Auf eine Menge kritischer API Anrufe kann von Angreifern mit willkürlichen Sitzungszeichen zugegriffen werden, wegen unterbrochenem Sitzungsmanagement.“

„Dies ermöglicht es einem Hacker Informationen über das eingegebene Konto und seinen verbundenen Baby-Videosprechanlagen wiederherzustellen. Die von dieser Funktion wiederhergestellten Informationen sind genug um eine Interaktion mit allen verbundenen Baby-Videosprechanlagen für die eingegebene UID zu sehen.“

Jetzt kann akzeptieren (aber nicht mögen), dass IoT Geräte Anfälligkeiten haben könnten. Ich kann sogar glauben (aber ganz und gar nicht mögen), dass es da draußen Internet-fähige Geräte gibt, welche an Eltern verkauft werden, die versuchen ihre Kinder zu schützen und trotzdem daran gescheitert sind, Sicherheit als eine Priorität zu behandeln.

Was mich wirklich kratzt ist die Antwort, welche die Forscher vom Hersteller von Mi-Cam bekommen haben. Trotz des seit 2017 gestarteten Versuchs diese Anfälligkeiten verantwortungsvoll an MiSafes zu veröffentlichen, und dem chinesischem Computer Notfall-Antworten-Team, damit sie als ein Prioritätsanliegen behoben werden könnten… alles was sie zurück bekommen haben ist Schweigen.

Und das ist warum die Forscher ihre Erkenntnisse diese Woche an der Cybercrime Konferenz in Wien präsentiert haben und mit ihren Sorgen öffentlich gegangen sind.

Ihre Ansicht ist, dass solang diese Probleme beim Produkt bleiben und es für sie keinen Zeitplan gibt um behoben zu werden, ihr Ratschlag ist, dass Kunden die Baby-Sprechanlagen offline halten sollten bis weitere Nachrichten veröffentlicht werden.

Die unheimliche Sache ist, dass dies nur das neueste in einer langen Reihe von IoT Geräten ist, bei welchen herausgefunden worden ist, dass sie zu kurz gegriffen haben, als es um Datenschutz und Sicherheit ging. Es wird ohne Zweifel viel mehr geben. Bedenken Sie das, das nächste Mal wenn Sie eine billige IP Kamera auf Amazon kaufen.