Abo
  • Services:
Anzeige
Babyfon - nicht immer der Eltern bester Freund
Babyfon - nicht immer der Eltern bester Freund (Bild: Wifibaby)

Gehacktes Babyfon: Das Kind schreit, und die Welt hört mit

Babyfon - nicht immer der Eltern bester Freund
Babyfon - nicht immer der Eltern bester Freund (Bild: Wifibaby)

Der Fremde im Kinderzimmer: Durch Sicherheitslücken in Babyfonen dringen Angreifer in besonders private Bereiche der Familie ein. Viele aktuelle Modelle sind angreifbar - und ermöglichen sogar eine Fernsteuerung.

Anzeige

Wer seine Kinder beim abendlichen Nachbarschaftsumtrunk auf der Terrasse über ein aktuelles Babyfon im Blick behalten will, muss ungebetene Mitseher fürchten. Das geht aus einer Untersuchung aktueller, gängiger Babyfone hervor, die das IT-Sicherheitsunternehmen Rapid 7 am 2. September vorgestellt hat. Aktuelle Babyfone übertragen nicht mehr nur Geräusche aus dem Kinderzimmer über das Stromnetz, sondern verwenden häufig Kameras, um das Geschehen im Blick zu behalten. Nutzer können die Videobilder dann über ein Webinterface oder eine App auf ihrem Smartphone verfolgen. Doch viele der Geräte können manipuliert werden.

Zahlreiche Sicherheitslücken

Gefährdet sind unter anderem die aktuellen Geräte der Firmen iBaby Labs, Philips Trendnet und Summer Infant. Sie können auf vielfältige Weise angegriffen werden. Die Schwachstelle, von der die meisten Geräte betroffen sind, sind hardgecodete Benutzernamen und Passwörter von fragwürdiger Qualität - bei manchen Geräten lautet es schlicht "admin". Bei dem Gerät Philips In.Sight B120/37 hat der Hersteller einfach die Firmwareeinstellungen der verwendeten Kamerakomponente übernommen, ohne sie an den neuen Einsatzzweck anzupassen.

Das getestete Gerät der Firma Summer Infant ermöglicht es, über einen manipulierten HTTP-Get-Request ohne Passwort oder Benutzernamen zusätzliche Nutzer hinzuzufügen und so den Zuschauerkreis zu erweitern. Eine andere Sicherheitslücke ermöglicht es auch Nutzern, die keine Administratorrechte haben, weitgehende Einstellungen im Webinterface vorzunehmen. Damit können die Angreifer das Gerät sogar fernsteuern.

Root-Zugang für alle

Bei anderen Geräten war es dank falsch eingestellter Dateisystemberechtigungen möglich, vollen Root-Zugang zu bekommen und so zum Beispiel vorher aufgezeichnete Videos anzuschauen. Die Sicherheitsforscher haben alle gefundenen Sicherheitslücken an die jeweiligen Hersteller weitergeleitet - doch nur Philips reagierte bis zum Zeitpunkt der Publikation der Studie mit einem konkreten Zeitplan, um die gefundenen Lücken zu beseitigen. Erst nach Medienberichten versprachen auch andere Hersteller, sich um die Sicherheitslücken zu kümmern. Bei einigen kleinen Herstellern hatten die Forscher sogar Probleme, die Verantwortlichen zu finden - Suchanfragen nach der Firma führten stets nur auf das Amazon-Profil.

Nicht nur graue Theorie

Sicherheitslücken in entsprechenden Geräten werden nicht nur von Sicherheitsforschern gefunden, sondern wurden bereits in realen Situationen ausgenutzt. Erst Mitte August berichteten Eltern aus Houston, Texas, über einen Vorfall: Einem Angreifer gelang es, sich von außen Zugang zu dem Babyfon zu verschaffen. Das verwendete Gerät hatte neben einem Mikrofon auch einen Lautsprecher, um mit dem Kind zu kommunizieren. Darüber beschimpfte der Angreifer das Kind wüst, bevor er sich schnell verabschiedete.

Um auf Sicherheitslücken in IP-Kameras hinzuweisen, griffen Sicherheitsforscher im vergangenen November zu einem umstrittenen Mittel: Sie erstellten eine Webseite, die Videofeeds ungesicherter Geräte live überträgt. Mindestens eine der Kameras übertrug auch Szenen aus einem Kinderzimmer. Bei der Aktion ging es den Hackern jedoch darum, Nutzer für bessere Sicherheitseinstellungen zu sensibilisieren, im aktuellen Beispiel sind vor allem die Hersteller gefragt.

Empfehlungen für besorgte Eltern

Die Forscher empfehlen, die Geräte stets nur im lokalen Netzwerkmodus zu betreiben, um ungebetene Gäste fernzuhalten. Nutzer, die eines der getesteten Modelle - Gyonii (GCW-1010), iBaby (M3S), iBaby (M6), Lens (LL-BC01W), Philips (B120/37), Summer (28630), Trendnet (TV-IP743SIC), Wifibaby (WFB2015) oder Withing (WBP01) - besitzen und die Onlinefunktionen nutzen wollen, sollten zudem den Hersteller nach einem Firmwareupdate fragen.

Sicherheitsrisiken im Internet of Things

Mit ihrer Untersuchung wollten die Sicherheitsforscher exemplarisch auf Sicherheitsrisiken im Internet der Dinge hinweisen. Oftmals würden bei diesen Geräten unsichere Standartkomponenten verwendet und etablierte Sicherheitsstandards wie sichere Verschlüsselungsverfahren nicht angewandt. Babyfone sind aus Sicht der Forscher ein ideales Testobjekt, da sie einen sehr privaten Lebensbereich betreffen und als Sicherheitstool vermarktet werden. Viele der verwendeten Geräte seien nur mühsam zu patchen - und viele unerfahrene Anwender wären damit überfordert. Die Hersteller sollten also von sich aus deutlich mehr in die Sicherheit der Geräte investieren.


eye home zur Startseite
Rubbelbubbel 29. Sep 2015

Du kannst als Aufsteller von Dixieklos nicht ernsthaft erwarten, daß dann hinterher...

Dwalinn 04. Sep 2015

Beispielsweise wenn ein Elternteil auf eine lange Reise muss, die Stimmen der Eltern sind...

x-beliebig 04. Sep 2015

das demnächst niemand mehr für mehr Sicherheit sorgen darf, indem er die klapperige...

AlexanderSchäfer 03. Sep 2015

Gibt es nicht neben Google nicht auch noch andere vertrauenswürdigere Quellen wie z.B...

onkel hotte 03. Sep 2015

Kein Problem. Kauf dir ein weit verbreitetes Babyfon z.b. unser AngelCare und stell dich...



Anzeige

Stellenmarkt
  1. MED-EL Medical Electronics, Innsbruck (Österreich)
  2. Robert Bosch GmbH, Schwieberdingen
  3. über Staff Gmbh, München (Home-Office möglich)
  4. über Ratbacher GmbH, Nürnberg


Anzeige
Hardware-Angebote
  1. 59,99€
  2. 79,90€
  3. 184,90€ + 3,99€ Versand (Bestpreis!)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Praxiseinsatz, Nutzen und Grenzen von Hadoop und Data Lakes
  2. Globale SAP-Anwendungsunterstützung durch Outsourcing


  1. Matrix Voice

    Preiswerter mit Spracherkennung experimentieren

  2. LTE

    Telekom führt Narrowband-IoT-Netz in Deutschland ein

  3. Deep Learning

    Wenn die KI besser prügelt als Menschen

  4. Firepower 2100

    Cisco stellt Firewall für KMU-Bereich vor

  5. Autonomes Fahren

    Briten verlieren Versicherungsschutz ohne Software-Update

  6. Kollisionsangriff

    Hashfunktion SHA-1 gebrochen

  7. AVM

    Fritzbox für Super Vectoring weiter nicht verfügbar

  8. Nintendo Switch eingeschaltet

    Zerstückelte Konsole und gigantisches Handheld

  9. Trappist-1

    Der Zwerg und die sieben Planeten

  10. Botnetz

    Wie Mirai Windows als Sprungbrett nutzt



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
XPS 13 (9360) im Test: Wieder ein tolles Ultrabook von Dell
XPS 13 (9360) im Test
Wieder ein tolles Ultrabook von Dell
  1. Die Woche im Video Die Selbstzerstörungssequenz ist aktiviert
  2. XPS 13 Convertible im Hands on Dells 2-in-1 ist kompakter und kaum langsamer

Mechanische Tastatur Poker 3 im Test: "Kauf dir endlich Dämpfungsringe!"
Mechanische Tastatur Poker 3 im Test
"Kauf dir endlich Dämpfungsringe!"
  1. Patentantrag Apple denkt über Tastatur mit Siri-, Emoji- und Teilen-Taste nach
  2. MX Board Silent im Praxistest Der viel zu teure Feldversuch von Cherry
  3. Kanex Faltbare Bluetooth-Tastatur für mehrere Geräte gleichzeitig

Hyperloop-Challenge: Der Kompressor macht den Unterschied
Hyperloop-Challenge
Der Kompressor macht den Unterschied
  1. Arrivo Die neuen alten Hyperlooper
  2. SpaceX Die Bayern hyperloopen am schnellsten und weitesten
  3. Hyperloop HTT baut ein Forschungszentrum in Toulouse

  1. Re: die sollen sich

    bombinho | 21:41

  2. Re: für Git wenig relevant

    My1 | 21:40

  3. Re: 2,5" SSD

    Neuro-Chef | 21:39

  4. Re: Der schlaue Gamer holt sich den RyZen 1600X...

    Jesper | 21:37

  5. Re: Gehashte Passwörter generell unsicher

    SelfEsteem | 21:36


  1. 17:37

  2. 17:26

  3. 16:41

  4. 16:28

  5. 15:45

  6. 15:26

  7. 15:13

  8. 15:04


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel