Internet der Babies - Der Spion im Kinderzimmer

hardware vulnerability

Babyfons dienen einem wichtigen Zweck bei der Sicherung und Überwachung unserer Lieben. Mindestens 52.000 Benutzerkonten und Videobaby-Monitore sind von einer Reihe kritischer Sicherheitslücken in „miSafes“ -Videomonitorprodukten betroffen.

Anfang Februar 2018 haben wir unsere ersten Ergebnisse im Rahmen des IoT-Projektes „IoD – Internet of Dildos“ veröffentlicht, in denen wir auf bedenkliche Sicherheitslücken in Sexspielzeugen hinwiesen. Nun haben wir ein „smart device“ unter die Lupe genommen, welches in vielen Familienhaushalten nicht mehr wegzudenken ist: die Baby-Überwachungskamera (auch: das Babyphone oder Babyfon).

Verbundene Babyphones - miSafes
Der Übergang von klassischen (altmodischen) Baby Phones zu hochtechnologischer Überwachung im Kinderzimmer.
Links: Janosch (Beurer), Quelle: www.beurer.com; Rechts: Mi-Cam (miSafes), Quelle: www.misafes.com

Wenn die Kamera nicht nur Zugriff auf das eigene Baby gewährt

Baby-Überwachungskameras nehmen eine wichtige Rolle in unserer modernen Gesellschaft ein und sollen vor allem frisch gebackenen Eltern unter die Arme greifen, wenn es um die Sicherheit ihrer Schützlinge geht. Die überprüfte Baby-Überwachungskamera „Mi-Cam“ von der Herstellerfirma miSafes zeigte sich anfällig für eine Reihe von kritischen Schwachstellen. Laut den offiziellen Statistiken aus dem Google Play Store (sowie fortlaufend nummerierten Benutzer-IDs), scheinen mehr als 52.000 User Accounts betroffen zu sein.

Ein nicht authentifizierter Angreifer kann dadurch u.a. Informationen zu einem beliebigen anderen Benutzer in Erfahrungen bringen und sich sogar Zugang zum jeweiligen Video der Überwachungskamera verschaffen. Des Weiteren kann das Passwort eines beliebigen Benutzers durch eine Schwachstelle in der „Passwort vergessen“-Funktion verändert und somit der persönliche Account komplett gekapert werden.

Weitere Schwachstellen sind im zugehörigen technischen Advisory des SEC Consult Vulnerability Lab sowie in unserem englischen Blogpost ersichtlich. Da wir weder den Hersteller noch das CNCERT erreichen konnten, sind diese Schwachstellen ungepatcht. Die Empfehlung lautet daher diese Geräte nicht einzusetzen.

Die Ergebnisse dieser Forschungsarbeit waren die Basis für eine Masterarbeit verfasst von Mathias Frank in Kooperation mit SEC Consult und der Fachhochschule Technikum Wien.

 

Sie möchten mehr zum Thema „Internet of Things“ und den aktuellen Herausforderungen im Umgang mit IT Sicherheit, Privatsphäre und Cybercrime erfahren? Dann besuchen Sie uns auf der Tagung „Global Cybercrime Trends and Countermeasures“ am 22. Februar 2018 in Wien.