Abo
  • IT-Karriere:

Gehacktes Babyfon: Das Kind schreit, und die Welt hört mit

Der Fremde im Kinderzimmer: Durch Sicherheitslücken in Babyfonen dringen Angreifer in besonders private Bereiche der Familie ein. Viele aktuelle Modelle sind angreifbar - und ermöglichen sogar eine Fernsteuerung.

Artikel veröffentlicht am ,
Babyfon - nicht immer der Eltern bester Freund
Babyfon - nicht immer der Eltern bester Freund (Bild: Wifibaby)

Wer seine Kinder beim abendlichen Nachbarschaftsumtrunk auf der Terrasse über ein aktuelles Babyfon im Blick behalten will, muss ungebetene Mitseher fürchten. Das geht aus einer Untersuchung aktueller, gängiger Babyfone hervor, die das IT-Sicherheitsunternehmen Rapid 7 am 2. September vorgestellt hat. Aktuelle Babyfone übertragen nicht mehr nur Geräusche aus dem Kinderzimmer über das Stromnetz, sondern verwenden häufig Kameras, um das Geschehen im Blick zu behalten. Nutzer können die Videobilder dann über ein Webinterface oder eine App auf ihrem Smartphone verfolgen. Doch viele der Geräte können manipuliert werden.

Zahlreiche Sicherheitslücken

Stellenmarkt
  1. LIDL Stiftung & Co. KG, Neckarsulm
  2. ekom21 - KGRZ Hessen, Darmstadt, Gießen, Kassel

Gefährdet sind unter anderem die aktuellen Geräte der Firmen iBaby Labs, Philips Trendnet und Summer Infant. Sie können auf vielfältige Weise angegriffen werden. Die Schwachstelle, von der die meisten Geräte betroffen sind, sind hardgecodete Benutzernamen und Passwörter von fragwürdiger Qualität - bei manchen Geräten lautet es schlicht "admin". Bei dem Gerät Philips In.Sight B120/37 hat der Hersteller einfach die Firmwareeinstellungen der verwendeten Kamerakomponente übernommen, ohne sie an den neuen Einsatzzweck anzupassen.

Das getestete Gerät der Firma Summer Infant ermöglicht es, über einen manipulierten HTTP-Get-Request ohne Passwort oder Benutzernamen zusätzliche Nutzer hinzuzufügen und so den Zuschauerkreis zu erweitern. Eine andere Sicherheitslücke ermöglicht es auch Nutzern, die keine Administratorrechte haben, weitgehende Einstellungen im Webinterface vorzunehmen. Damit können die Angreifer das Gerät sogar fernsteuern.

Root-Zugang für alle

Bei anderen Geräten war es dank falsch eingestellter Dateisystemberechtigungen möglich, vollen Root-Zugang zu bekommen und so zum Beispiel vorher aufgezeichnete Videos anzuschauen. Die Sicherheitsforscher haben alle gefundenen Sicherheitslücken an die jeweiligen Hersteller weitergeleitet - doch nur Philips reagierte bis zum Zeitpunkt der Publikation der Studie mit einem konkreten Zeitplan, um die gefundenen Lücken zu beseitigen. Erst nach Medienberichten versprachen auch andere Hersteller, sich um die Sicherheitslücken zu kümmern. Bei einigen kleinen Herstellern hatten die Forscher sogar Probleme, die Verantwortlichen zu finden - Suchanfragen nach der Firma führten stets nur auf das Amazon-Profil.

Nicht nur graue Theorie

Sicherheitslücken in entsprechenden Geräten werden nicht nur von Sicherheitsforschern gefunden, sondern wurden bereits in realen Situationen ausgenutzt. Erst Mitte August berichteten Eltern aus Houston, Texas, über einen Vorfall: Einem Angreifer gelang es, sich von außen Zugang zu dem Babyfon zu verschaffen. Das verwendete Gerät hatte neben einem Mikrofon auch einen Lautsprecher, um mit dem Kind zu kommunizieren. Darüber beschimpfte der Angreifer das Kind wüst, bevor er sich schnell verabschiedete.

Um auf Sicherheitslücken in IP-Kameras hinzuweisen, griffen Sicherheitsforscher im vergangenen November zu einem umstrittenen Mittel: Sie erstellten eine Webseite, die Videofeeds ungesicherter Geräte live überträgt. Mindestens eine der Kameras übertrug auch Szenen aus einem Kinderzimmer. Bei der Aktion ging es den Hackern jedoch darum, Nutzer für bessere Sicherheitseinstellungen zu sensibilisieren, im aktuellen Beispiel sind vor allem die Hersteller gefragt.

Empfehlungen für besorgte Eltern

Die Forscher empfehlen, die Geräte stets nur im lokalen Netzwerkmodus zu betreiben, um ungebetene Gäste fernzuhalten. Nutzer, die eines der getesteten Modelle - Gyonii (GCW-1010), iBaby (M3S), iBaby (M6), Lens (LL-BC01W), Philips (B120/37), Summer (28630), Trendnet (TV-IP743SIC), Wifibaby (WFB2015) oder Withing (WBP01) - besitzen und die Onlinefunktionen nutzen wollen, sollten zudem den Hersteller nach einem Firmwareupdate fragen.

Sicherheitsrisiken im Internet of Things

Mit ihrer Untersuchung wollten die Sicherheitsforscher exemplarisch auf Sicherheitsrisiken im Internet der Dinge hinweisen. Oftmals würden bei diesen Geräten unsichere Standartkomponenten verwendet und etablierte Sicherheitsstandards wie sichere Verschlüsselungsverfahren nicht angewandt. Babyfone sind aus Sicht der Forscher ein ideales Testobjekt, da sie einen sehr privaten Lebensbereich betreffen und als Sicherheitstool vermarktet werden. Viele der verwendeten Geräte seien nur mühsam zu patchen - und viele unerfahrene Anwender wären damit überfordert. Die Hersteller sollten also von sich aus deutlich mehr in die Sicherheit der Geräte investieren.



Anzeige
Top-Angebote
  1. 139,99€ (Bestpreis - nach Abzug 20€-Coupon)
  2. 749,00€
  3. 199,00€
  4. (u. a. Age of Wonders: Planetfall für 39,99€, Imperator: Rome für 23,99€, Stellaris für 9...

Rubbelbubbel 29. Sep 2015

Du kannst als Aufsteller von Dixieklos nicht ernsthaft erwarten, daß dann hinterher...

Dwalinn 04. Sep 2015

Beispielsweise wenn ein Elternteil auf eine lange Reise muss, die Stimmen der Eltern sind...

x-beliebig 04. Sep 2015

das demnächst niemand mehr für mehr Sicherheit sorgen darf, indem er die klapperige...

AlexanderSchäfer 03. Sep 2015

Gibt es nicht neben Google nicht auch noch andere vertrauenswürdigere Quellen wie z.B...

onkel hotte 03. Sep 2015

Kein Problem. Kauf dir ein weit verbreitetes Babyfon z.b. unser AngelCare und stell dich...


Folgen Sie uns
       


E-Trofit elektrifiziert Dieselbusse - Bericht

Die Ingolstädter Firma E-Trofit elektrifiziert Dieselbusse. Golem.de hat sich die Umrüstung vorführen lassen.

E-Trofit elektrifiziert Dieselbusse - Bericht Video aufrufen
iPad 7 im Test: Nicht nur für Einsteiger lohnenswert
iPad 7 im Test
Nicht nur für Einsteiger lohnenswert

Auch mit der siebten Version des klassischen iPads richtet sich Apple wieder an Nutzer im Einsteigersegment. Dennoch ist das Tablet sehr leistungsfähig und kommt mit Smart-Keyboard-Unterstützung. Wer ein gutes, lange unterstütztes Tablet sucht, kann sich freuen - ärgerlich sind die Preise fürs Zubehör.
Ein Test von Tobias Költzsch

  1. iPad Einschränkungen für Apples Sidecar-Funktion
  2. Apple Microsoft Office auf neuem iPad nicht mehr kostenlos nutzbar
  3. Tablet Apple bringt die 7. Generation des iPads

IT-Sicherheit: Auch kleine Netze brauchen eine Firewall
IT-Sicherheit
Auch kleine Netze brauchen eine Firewall

Unternehmen mit kleinem Geldbeutel verzichten häufig auf eine Firewall. Das sollten sie aber nicht tun, wenn ihnen die Sicherheit ihres Netzwerks wichtig ist.
Von Götz Güttich

  1. Anzeige Wo Daten wirklich sicher liegen
  2. Erasure Coding Das Ende von Raid kommt durch Mathematik
  3. Endpoint Security IT-Sicherheit ist ein Cocktail mit vielen Zutaten

Linux-Kernel: Selbst Google ist unfähig, Android zu pflegen
Linux-Kernel
Selbst Google ist unfähig, Android zu pflegen

Bisher gilt Google als positive Ausnahme von der schlechten Update-Politik im Android-Ökosystem. Doch eine aktuelle Sicherheitslücke zeigt, dass auch Google die Updates nicht im Griff hat. Das ist selbst verschuldet und könnte vermieden werden.
Ein IMHO von Sebastian Grüner

  1. Kernel Linux bekommt Unterstützung für USB 4
  2. Kernel Vorschau auf Linux 5.4 bringt viele Security-Funktionen
  3. Linux Lockdown-Patches im Kernel aufgenommen

    •  /