Abo
  • Services:
Anzeige
Babyfon - nicht immer der Eltern bester Freund
Babyfon - nicht immer der Eltern bester Freund (Bild: Wifibaby)

Gehacktes Babyfon: Das Kind schreit, und die Welt hört mit

Babyfon - nicht immer der Eltern bester Freund
Babyfon - nicht immer der Eltern bester Freund (Bild: Wifibaby)

Der Fremde im Kinderzimmer: Durch Sicherheitslücken in Babyfonen dringen Angreifer in besonders private Bereiche der Familie ein. Viele aktuelle Modelle sind angreifbar - und ermöglichen sogar eine Fernsteuerung.

Anzeige

Wer seine Kinder beim abendlichen Nachbarschaftsumtrunk auf der Terrasse über ein aktuelles Babyfon im Blick behalten will, muss ungebetene Mitseher fürchten. Das geht aus einer Untersuchung aktueller, gängiger Babyfone hervor, die das IT-Sicherheitsunternehmen Rapid 7 am 2. September vorgestellt hat. Aktuelle Babyfone übertragen nicht mehr nur Geräusche aus dem Kinderzimmer über das Stromnetz, sondern verwenden häufig Kameras, um das Geschehen im Blick zu behalten. Nutzer können die Videobilder dann über ein Webinterface oder eine App auf ihrem Smartphone verfolgen. Doch viele der Geräte können manipuliert werden.

Zahlreiche Sicherheitslücken

Gefährdet sind unter anderem die aktuellen Geräte der Firmen iBaby Labs, Philips Trendnet und Summer Infant. Sie können auf vielfältige Weise angegriffen werden. Die Schwachstelle, von der die meisten Geräte betroffen sind, sind hardgecodete Benutzernamen und Passwörter von fragwürdiger Qualität - bei manchen Geräten lautet es schlicht "admin". Bei dem Gerät Philips In.Sight B120/37 hat der Hersteller einfach die Firmwareeinstellungen der verwendeten Kamerakomponente übernommen, ohne sie an den neuen Einsatzzweck anzupassen.

Das getestete Gerät der Firma Summer Infant ermöglicht es, über einen manipulierten HTTP-Get-Request ohne Passwort oder Benutzernamen zusätzliche Nutzer hinzuzufügen und so den Zuschauerkreis zu erweitern. Eine andere Sicherheitslücke ermöglicht es auch Nutzern, die keine Administratorrechte haben, weitgehende Einstellungen im Webinterface vorzunehmen. Damit können die Angreifer das Gerät sogar fernsteuern.

Root-Zugang für alle

Bei anderen Geräten war es dank falsch eingestellter Dateisystemberechtigungen möglich, vollen Root-Zugang zu bekommen und so zum Beispiel vorher aufgezeichnete Videos anzuschauen. Die Sicherheitsforscher haben alle gefundenen Sicherheitslücken an die jeweiligen Hersteller weitergeleitet - doch nur Philips reagierte bis zum Zeitpunkt der Publikation der Studie mit einem konkreten Zeitplan, um die gefundenen Lücken zu beseitigen. Erst nach Medienberichten versprachen auch andere Hersteller, sich um die Sicherheitslücken zu kümmern. Bei einigen kleinen Herstellern hatten die Forscher sogar Probleme, die Verantwortlichen zu finden - Suchanfragen nach der Firma führten stets nur auf das Amazon-Profil.

Nicht nur graue Theorie

Sicherheitslücken in entsprechenden Geräten werden nicht nur von Sicherheitsforschern gefunden, sondern wurden bereits in realen Situationen ausgenutzt. Erst Mitte August berichteten Eltern aus Houston, Texas, über einen Vorfall: Einem Angreifer gelang es, sich von außen Zugang zu dem Babyfon zu verschaffen. Das verwendete Gerät hatte neben einem Mikrofon auch einen Lautsprecher, um mit dem Kind zu kommunizieren. Darüber beschimpfte der Angreifer das Kind wüst, bevor er sich schnell verabschiedete.

Um auf Sicherheitslücken in IP-Kameras hinzuweisen, griffen Sicherheitsforscher im vergangenen November zu einem umstrittenen Mittel: Sie erstellten eine Webseite, die Videofeeds ungesicherter Geräte live überträgt. Mindestens eine der Kameras übertrug auch Szenen aus einem Kinderzimmer. Bei der Aktion ging es den Hackern jedoch darum, Nutzer für bessere Sicherheitseinstellungen zu sensibilisieren, im aktuellen Beispiel sind vor allem die Hersteller gefragt.

Empfehlungen für besorgte Eltern

Die Forscher empfehlen, die Geräte stets nur im lokalen Netzwerkmodus zu betreiben, um ungebetene Gäste fernzuhalten. Nutzer, die eines der getesteten Modelle - Gyonii (GCW-1010), iBaby (M3S), iBaby (M6), Lens (LL-BC01W), Philips (B120/37), Summer (28630), Trendnet (TV-IP743SIC), Wifibaby (WFB2015) oder Withing (WBP01) - besitzen und die Onlinefunktionen nutzen wollen, sollten zudem den Hersteller nach einem Firmwareupdate fragen.

Sicherheitsrisiken im Internet of Things

Mit ihrer Untersuchung wollten die Sicherheitsforscher exemplarisch auf Sicherheitsrisiken im Internet der Dinge hinweisen. Oftmals würden bei diesen Geräten unsichere Standartkomponenten verwendet und etablierte Sicherheitsstandards wie sichere Verschlüsselungsverfahren nicht angewandt. Babyfone sind aus Sicht der Forscher ein ideales Testobjekt, da sie einen sehr privaten Lebensbereich betreffen und als Sicherheitstool vermarktet werden. Viele der verwendeten Geräte seien nur mühsam zu patchen - und viele unerfahrene Anwender wären damit überfordert. Die Hersteller sollten also von sich aus deutlich mehr in die Sicherheit der Geräte investieren.


eye home zur Startseite
Rubbelbubbel 29. Sep 2015

Du kannst als Aufsteller von Dixieklos nicht ernsthaft erwarten, daß dann hinterher...

Dwalinn 04. Sep 2015

Beispielsweise wenn ein Elternteil auf eine lange Reise muss, die Stimmen der Eltern sind...

x-beliebig 04. Sep 2015

das demnächst niemand mehr für mehr Sicherheit sorgen darf, indem er die klapperige...

AlexanderSchäfer 03. Sep 2015

Gibt es nicht neben Google nicht auch noch andere vertrauenswürdigere Quellen wie z.B...

onkel hotte 03. Sep 2015

Kein Problem. Kauf dir ein weit verbreitetes Babyfon z.b. unser AngelCare und stell dich...



Anzeige

Stellenmarkt
  1. Giesecke & Devrient GmbH, München
  2. IRIS Telecommunication GmbH, deutschlandweit (Home-Office)
  3. IKOR Management- und Systemberatung GmbH, deutschlandweit
  4. Worldline GmbH, Aachen


Anzeige
Hardware-Angebote
  1. ab 799,90€
  2. und bis zu 60€ Steam-Guthaben erhalten
  3. auf Kameras und Objektive

Folgen Sie uns
       


  1. Project Zero

    Google-Entwickler baut Windows-Loader für Linux

  2. Dan Cases A4-SFX v2

    Minigehäuse erhält Fenster und wird Wakü-kompatibel

  3. Razer Core im Test

    Grafikbox + Ultrabook = Gaming-System

  4. iPhone-Hersteller

    Apple testet 5G-Technologie

  5. Cern

    Der LHC ist zurück aus der Winterpause

  6. Jamboard

    Googles Smartboard kommt in den USA auf den Markt

  7. Überwachung

    Wikipedia darf nun doch die NSA verklagen

  8. Prototypen

    BOE zeigt AMQLED-Displays mit 5 und 14 Zoll

  9. Passwortmanager

    1Password bietet sichere Passwörter beim Grenzübertritt

  10. QD-LCD mit LED-BLU

    Forscher kritisieren Samsungs QLED-Marketing



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
The Surge im Test: Frust und Feiern in der Zukunft
The Surge im Test
Frust und Feiern in der Zukunft
  1. Wirtschaftssimulation Pizza Connection 3 wird gebacken
  2. Mobile-Games-Auslese Untote Rundfahrt und mobiles Seemannsgarn
  3. Spielebranche Beschäftigtenzahl in der deutschen Spielebranche sinkt

Redmond Campus Building 87: Microsofts Area 51 für Hardware
Redmond Campus Building 87
Microsofts Area 51 für Hardware
  1. Windows on ARM Microsoft erklärt den kommenden x86-Emulator im Detail
  2. Azure Microsoft betreut MySQL und PostgreSQL in der Cloud
  3. Microsoft Azure bekommt eine beeindruckend beängstigende Video-API

3D-Druck bei der Bahn: Mal eben einen Kleiderhaken für 80 Euro drucken
3D-Druck bei der Bahn
Mal eben einen Kleiderhaken für 80 Euro drucken
  1. Bahnchef Richard Lutz Künftig "kein Ticket mehr für die Bahn" notwendig
  2. Flatrate Öffentliches Fahrradleihen kostet 50 Euro im Jahr
  3. Nextbike Berlins neues Fahrradverleihsystem startet

  1. Überschaubare Zielgruppe

    blariog | 13:59

  2. Re: Unterschied OLED zu QLED

    furam | 13:59

  3. Re: Wieso nicht gleich noch Prozessor in das Gehäuse?

    No name089 | 13:57

  4. Re: Taugen Passwortmanager was?

    david_rieger | 13:56

  5. Re: Kommt mir auch auf Kundenseite bekannt vor.

    My1 | 13:55


  1. 13:22

  2. 12:41

  3. 12:01

  4. 11:57

  5. 11:32

  6. 11:21

  7. 10:52

  8. 10:40


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel