Smart-Kameras sind nicht sicher

19 Mrz 2018

Smart-Geräte sind leider nicht annähernd so sicher wie sie beliebt sind. In einem unserer letzten Blogposts haben wir von den Bedrohungen, die von unsicheren Smart-Geräten ausgehen können, berichtet. Unser Beitrag heute soll Licht auf eine weitere Entdeckung unserer Experten werfen: eine Smart-Kamera, die fast so viele Sicherheitslücken wie allgemeine Features aufweist.

Ganze 13 Schwachstellen! Weitere Details dazu finden Sie im vollständigen Bericht auf Securelist. Werfen wir nun aber einen Blick auf die Konsequenzen, die eine solche Kamera für Benutzer haben könnte.

Das Objekt unserer Studie ist die Hanwha SNH-V6410PN von Techwin; eine ehemalige Tochtergesellschaft von Samsung. Obwohl das Unternehmen vor einigen Jahren seinen Besitzer gewechselt hat, wurde die Kamera bis Ende 2017 unter der Marke Samsung hergestellt.

Die Kamera wird als Allzweck-Überwachungstool vermarktet, das für Kinderzimmer, Haushalte im Allgemeinen und sogar kleine Büros geeignet ist. Die Kamera hat eine Nachtsichtfunktion, Objektnachführung, kann Filmmaterial auf ein Smartphone oder Tablet streamen und über den integrierten Lautsprecher Ton wiedergeben.

Besitzer können alle Funktionen der Webcam über einen Cloud-Dienst steuern, auf den von einem Desktop-Computer oder einem mobilen Gerät aus zugegriffen werden kann. Der ICS CERT-Forschung von Kaspersky Lab zufolge, können Fremde über die Schwachstellen der Kamera auf diese zugreifen und nach Lust und Laune kontrollieren. Das eröffnet Angreifern jede Menge Möglichkeiten.

Böse Absichten

Zum einen können Außenstehende den Videostream ersetzen, der an den Benutzer geliefert wird; genauso wie in den Filmen, in denen Bösewichte Sicherheitsleute mit Material täuschen, das bereits einige Tage alt ist, während diese seelenruhig in eine angeblich sichere Einrichtung eindringen. Nicht länger auf Filme beschränkt, kann dieser Trick nun auch von echten Kriminellen in die Tat umgesetzt werden.

Unsere Experten konnten den Videostream abfangen, den Audiokanal anzapfen und standortbasierte Daten abrufen. Das bedeutet, dass Angreifer dazu in der Lage sein könnten, den Standort des Geräts in Erfahrung zu bringen und die Gewohnheiten und Praktiken der Bewohner oder Angestellten zu studieren, um ihren Einbruch sorgfältig zu planen.

Spionage über das elektronische Auge

Selbst wenn wir solche dramatischen Szenarien außer Acht lassen, stehen einem Hacker viele andere Möglichkeiten offen. Wie viele andere Smart-Geräte kann die Kamera Daten mit sozialen Netzwerken und Online-Diensten austauschen, um ihren Besitzer über Ereignisse im Überwachungsbereich zu informieren. Sobald sie erst einmal die Kontrolle erlangt haben, können Hacker nicht nur Ihre Kontodaten abfangen, sondern auch das kompromittierte Gerät verwenden, um Spam- oder Phishing-Nachrichten an Ihre Freunde zu senden.

Und um ihre Spuren zu verwischen – oder einfach nur, um sich einen Spaß zu erlauben – können Kriminelle Ihre Kamera vollkommen nutzlos machen.

Natürlich können sie auch zu offensichtlicheren Methoden greifen und die Besitzer der Kamera ausspionieren, wenn diese glauben ungestört zu sein. Hacker vertreiben sich gerne ihre Zeit mit derartigen Spielchen.

Darüber hinaus kann die Kamera Ton über einen eingebauten Lautsprecher wiedergeben. Stellen Sie sich vor, ein Fremder könnte beispielsweise über eine Babyphone mit Kamerafunktion zu Ihrem Kind sprechen. Ein solches Gerät mit dem Internet zu verbinden klingt auf einmal nicht mehr so verlockend, oder?

Angriff der Cyber-Zombies

Vor ein paar Jahren bekam die Welt das Potenzial von IoT-Botnets zu spüren – Tausende Smart-Geräte, die unter der Kontrolle Krimineller arbeiteten, legten mehrere große Internet-Dienste lahm. Auch die Hanwha Techwin Smart-Kameras waren nicht dagegen immun. Mit hunderten oder tausenden von gehackten Kameras können Kriminelle diese für eine DDoS-Attacke nutzen, sie dazu bringen, Kryptowährungen zu schürfen, oder ihnen befehlen, benachbarte Geräte im selben Netzwerk zu infizieren.

Wie Sie das Internet NICHT zerstören

Schlechte Aussichten für die Zukunft?

Abgesehen von Heim- und Bürokameras entwickelt Hanwha auch industrielle CCTV-Systeme. Andere interessante Dinge, die wir im Portfolio dieses Anbieters finden können sind selbstfahrende Artilleriefahrzeuge und vollautomatische Kampfroboter. Wir hoffen, dass die Sicherheit bei diesen Geräten höchste Priorität hat.

Wir haben dem Hersteller alle Probleme gemeldet, die wir in der Hanwha SNH-V6410PN-Firmware und dem Cloud-Dienst festgestellt haben, der die meisten davon bereits behoben hat.

Bis die Hersteller von Smart-Geräten allerdings bereits im frühen Entwicklungszyklus einen deutlich ernsteren Standpunkt zum Schutz ihrer Produkte einnehmen, empfehlen wir Ihnen, selbst die Kontrolle über Ihre Sicherheit zu übernehmen.

  • Bevor Sie ein intelligentes Gerät – egal welches – kaufen, denken Sie zweimal darüber nach. Wenn Sie es wirklich brauchen, suchen Sie im Internet nach Informationen über mögliche Versuche eines Hacks oder bekannte Sicherheitslücken.
  • Informieren Sie sich über die Geräte, die Sie bereits besitzen, um das Risiko eines Angriffs zu verringern. Kaspersky Lab hat eine App namens Kaspersky IoT Scanner herausgebracht – eine kostenlose Schutzlösung für Smart-Geräte. Die App überprüft Ihr WLAN-Netzwerk und informiert Sie darüber, ob die angeschlossenen Geräte sicher sind oder nicht.

Update: Die in diesem Beitrag beschriebene App wird nicht länger unterstützt.