Sicherheitsforscher bei Bitdefender haben zahlreiche Schwachstellen im iBaby-Monitor M6S gefunden, einer beliebten Baby-Monitor-Kamera. Die bis heute vom Hersteller nicht gepatchten Schwachstellen ermöglichen Angreifern den Zugriff auf in die Cloud hochgeladene Fotos und Videos sowie auf private Daten wie E-Mail-Adresse, Name, Standort und Profilbild des Benutzers.
Babymonitore sind ein praktischer Helfer für Eltern, um ihre Kinder auch in Abwesenheit im Auge zu behalten. Doch viele Eltern scheinen sich der Risiken dieser mit dem Internet verbundenen Geräte nicht bewusst zu sein. Viele Geräte sind ein Sicherheitsrisiko. Ein weltweit beliebtes Produkt dieser Gattung ist das Modell Monitor M6S des Herstellers iBaby. In Kooperation mit der Zeitschrift PCMag hat Bitdefender das Gerät in Sachen Cybersicherheit genauer unter die Lupe genommen und kommt zu keinem guten Ergebnis.
Die Schwachstellen des iBaby Monitor M6S im Detail:
Zugriff auf Dateien in AWS: Die Kamera verwendet einen geheimen Schlüssel und eine Zugriffsschlüssel-ID, um bei einer Alarmmeldung Fotos oder Videos in die AWS-Cloud hochzuladen. Diese Schlüssel werden für die Verzeichnisauflistung und das Herunterladen von Alarmen (Video oder Foto) verwendet. In diesem Fall sind der Schlüssel und der Initialisierungsvektor (IV) für die Verschlüsselung jedoch vorhersehbar und können allein durch Kenntnis der Kamera-ID ermittelt werden. Ausgestattet mit der Kamera-ID und den Schlüsseln können Angreifer so auf die Dateien im AWS-Bucket zugreifen.
Informationsleck durch MQTT: Während ein Benutzer seine Kamera konfiguriert, können kritische Informationen über das MQTT-Protokoll von Angreifer mitgelesen werden. Hacker haben dann die Möglichkeit, mit den erhaltenen Zugangsdaten Videos zu streamen, Screenshots zu machen, Videos aufzuzeichnen oder Musik abzuspielen.
Durchsickern persönlicher Informationen durch eine IDOR-Schwachstelle: Durch eine IDOR-Schwachstelle (Indirect Object Reference) kann ein Angreifer Anfragen stellen und so die E-Mail-Adresse, den Namen, den Standort und das Profilbild des Kamerabesitzers erhalten. Cyberkriminelle können auch die Zeitstempel herausfinden, die zeigen, wann der Benutzer auf seine Kamera zugegriffen hat.
Alle Details zu der Vorgehensweise der Bitdefender Experten und den gefunden Schwachstellen wurden in einem detaillierten Bericht zusammengestellt, der hier heruntergeladen werden kann. Der Bericht ist Teil einer Serie, die Bitdefender gemeinsam mit PCMag entwickelt und die beleuchtet, wie es um die Sicherheit beliebter IoT-Geräte bestellt ist.
Hier ein paar Tipps, um das Heim-Netzwerk vor Eindringlingen zu schützen:
1. Halten Sie Ihre Software immer auf dem neuesten Stand: Egal, ob es sich um ein Telefon, einen Computer oder ein Babyphone handelt, Sie sollten regelmäßig einen Check nach Softwareaktualisierung machen. Die Aktualisierung kann unter anderem wichtige Softwareänderungen enthalten, die Sicherheitslücken im Produkt schließen.
2. Wenden Sie eine Zwei-Faktor-Authentifizierung an: Bei der Zwei-Faktor-Authentifizierung wird ein separates Gerät verwendet, um Ihre Identität beim Zugriff auf ein Konto oder Gerät zu überprüfen. Dies ist beispielsweise der Fall, wenn Sie sich bei einem Konto anmelden und sich einen Verifizierungscode auf Ihr Telefon senden lassen. Und denken Sie daran, unterschiedliche und schwierige Passwörter für verschiedene Geräte und Online-Konten anzuwenden.
3. Scannen Sie Ihre Heimgeräte: Bitdefender bietet mit dem Bitdefender Home Scanner ein kostenloses Tool zum Scannen von Heimgeräten – und zur allgemeinen Sicherheit. Der Scanner sucht nach gefährdeten Geräten und Passwörtern in Ihrem Netzwerk und liefert Ratschläge zur Verbesserung der Sicherheit.
www.bitdefender.de