Abo
  • Services:

Gehacktes Babyfon: Das Kind schreit, und die Welt hört mit

Der Fremde im Kinderzimmer: Durch Sicherheitslücken in Babyfonen dringen Angreifer in besonders private Bereiche der Familie ein. Viele aktuelle Modelle sind angreifbar - und ermöglichen sogar eine Fernsteuerung.

Artikel veröffentlicht am ,
Babyfon - nicht immer der Eltern bester Freund
Babyfon - nicht immer der Eltern bester Freund (Bild: Wifibaby)

Wer seine Kinder beim abendlichen Nachbarschaftsumtrunk auf der Terrasse über ein aktuelles Babyfon im Blick behalten will, muss ungebetene Mitseher fürchten. Das geht aus einer Untersuchung aktueller, gängiger Babyfone hervor, die das IT-Sicherheitsunternehmen Rapid 7 am 2. September vorgestellt hat. Aktuelle Babyfone übertragen nicht mehr nur Geräusche aus dem Kinderzimmer über das Stromnetz, sondern verwenden häufig Kameras, um das Geschehen im Blick zu behalten. Nutzer können die Videobilder dann über ein Webinterface oder eine App auf ihrem Smartphone verfolgen. Doch viele der Geräte können manipuliert werden.

Zahlreiche Sicherheitslücken

Stellenmarkt
  1. ENERCON GmbH, Aurich
  2. Gesellschaft zur Verwertung von Leistungsschutzrechten mbH, Berlin

Gefährdet sind unter anderem die aktuellen Geräte der Firmen iBaby Labs, Philips Trendnet und Summer Infant. Sie können auf vielfältige Weise angegriffen werden. Die Schwachstelle, von der die meisten Geräte betroffen sind, sind hardgecodete Benutzernamen und Passwörter von fragwürdiger Qualität - bei manchen Geräten lautet es schlicht "admin". Bei dem Gerät Philips In.Sight B120/37 hat der Hersteller einfach die Firmwareeinstellungen der verwendeten Kamerakomponente übernommen, ohne sie an den neuen Einsatzzweck anzupassen.

Das getestete Gerät der Firma Summer Infant ermöglicht es, über einen manipulierten HTTP-Get-Request ohne Passwort oder Benutzernamen zusätzliche Nutzer hinzuzufügen und so den Zuschauerkreis zu erweitern. Eine andere Sicherheitslücke ermöglicht es auch Nutzern, die keine Administratorrechte haben, weitgehende Einstellungen im Webinterface vorzunehmen. Damit können die Angreifer das Gerät sogar fernsteuern.

Root-Zugang für alle

Bei anderen Geräten war es dank falsch eingestellter Dateisystemberechtigungen möglich, vollen Root-Zugang zu bekommen und so zum Beispiel vorher aufgezeichnete Videos anzuschauen. Die Sicherheitsforscher haben alle gefundenen Sicherheitslücken an die jeweiligen Hersteller weitergeleitet - doch nur Philips reagierte bis zum Zeitpunkt der Publikation der Studie mit einem konkreten Zeitplan, um die gefundenen Lücken zu beseitigen. Erst nach Medienberichten versprachen auch andere Hersteller, sich um die Sicherheitslücken zu kümmern. Bei einigen kleinen Herstellern hatten die Forscher sogar Probleme, die Verantwortlichen zu finden - Suchanfragen nach der Firma führten stets nur auf das Amazon-Profil.

Nicht nur graue Theorie

Sicherheitslücken in entsprechenden Geräten werden nicht nur von Sicherheitsforschern gefunden, sondern wurden bereits in realen Situationen ausgenutzt. Erst Mitte August berichteten Eltern aus Houston, Texas, über einen Vorfall: Einem Angreifer gelang es, sich von außen Zugang zu dem Babyfon zu verschaffen. Das verwendete Gerät hatte neben einem Mikrofon auch einen Lautsprecher, um mit dem Kind zu kommunizieren. Darüber beschimpfte der Angreifer das Kind wüst, bevor er sich schnell verabschiedete.

Um auf Sicherheitslücken in IP-Kameras hinzuweisen, griffen Sicherheitsforscher im vergangenen November zu einem umstrittenen Mittel: Sie erstellten eine Webseite, die Videofeeds ungesicherter Geräte live überträgt. Mindestens eine der Kameras übertrug auch Szenen aus einem Kinderzimmer. Bei der Aktion ging es den Hackern jedoch darum, Nutzer für bessere Sicherheitseinstellungen zu sensibilisieren, im aktuellen Beispiel sind vor allem die Hersteller gefragt.

Empfehlungen für besorgte Eltern

Die Forscher empfehlen, die Geräte stets nur im lokalen Netzwerkmodus zu betreiben, um ungebetene Gäste fernzuhalten. Nutzer, die eines der getesteten Modelle - Gyonii (GCW-1010), iBaby (M3S), iBaby (M6), Lens (LL-BC01W), Philips (B120/37), Summer (28630), Trendnet (TV-IP743SIC), Wifibaby (WFB2015) oder Withing (WBP01) - besitzen und die Onlinefunktionen nutzen wollen, sollten zudem den Hersteller nach einem Firmwareupdate fragen.

Sicherheitsrisiken im Internet of Things

Mit ihrer Untersuchung wollten die Sicherheitsforscher exemplarisch auf Sicherheitsrisiken im Internet der Dinge hinweisen. Oftmals würden bei diesen Geräten unsichere Standartkomponenten verwendet und etablierte Sicherheitsstandards wie sichere Verschlüsselungsverfahren nicht angewandt. Babyfone sind aus Sicht der Forscher ein ideales Testobjekt, da sie einen sehr privaten Lebensbereich betreffen und als Sicherheitstool vermarktet werden. Viele der verwendeten Geräte seien nur mühsam zu patchen - und viele unerfahrene Anwender wären damit überfordert. Die Hersteller sollten also von sich aus deutlich mehr in die Sicherheit der Geräte investieren.



Anzeige
Blu-ray-Angebote
  1. 5€ inkl. FSK-18-Versand
  2. (u. a. 3 Blu-rays für 15€, 2 Neuheiten für 15€)
  3. 5€ inkl. FSK-18-Versand

Rubbelbubbel 29. Sep 2015

Du kannst als Aufsteller von Dixieklos nicht ernsthaft erwarten, daß dann hinterher...

Dwalinn 04. Sep 2015

Beispielsweise wenn ein Elternteil auf eine lange Reise muss, die Stimmen der Eltern sind...

x-beliebig 04. Sep 2015

das demnächst niemand mehr für mehr Sicherheit sorgen darf, indem er die klapperige...

AlexanderSchäfer 03. Sep 2015

Gibt es nicht neben Google nicht auch noch andere vertrauenswürdigere Quellen wie z.B...

onkel hotte 03. Sep 2015

Kein Problem. Kauf dir ein weit verbreitetes Babyfon z.b. unser AngelCare und stell dich...


Folgen Sie uns
       


Acer Spin 13 - Fazit

Das Spin 13 von Acer ist ein hochwertig verarbeitetes, gut ausgestattetes Chromebook. Nach dem Test fragen wir uns aber, ob wir wirklich mindestens 900 Euro für ein Notebook mit Chrome OS ausgeben wollen.

Acer Spin 13 - Fazit Video aufrufen
Raspberry Pi: Spieglein, Spieglein, werde smart!
Raspberry Pi
Spieglein, Spieglein, werde smart!

Ein Spiegel, ein ausrangierter Monitor und ein Raspberry Pi sind die grundlegenden Bauteile, mit denen man sich selbst einen Smart Mirror basteln kann. Je nach Interesse können dort dann das Wetter, Fahrpläne, Nachrichten oder auch stimmungsvolle Bilder angezeigt werden.
Eine Anleitung von Christopher Bichl

  1. IoT mit LoRa und Raspberry Pi Die DNA des Internet der Dinge
  2. Bewegungssensor auswerten Mit Wackeln programmieren lernen
  3. Raspberry Pi Cam Babycam mit wenig Aufwand selbst bauen

Begriffe, Architekturen, Produkte: Große Datenmengen in Echtzeit analysieren
Begriffe, Architekturen, Produkte
Große Datenmengen in Echtzeit analysieren

Wer sich auch nur oberflächlich mit Big-Data und Echtzeit-Analyse beschäftigt, stößt schnell auf Begriffe und Lösungen, die sich nicht sofort erschließen. Warum brauche ich eine Nachrichten-Queue und was unterscheidet Apache Hadoop von Kafka? Welche Rolle spielt das in einer Kappa-Architektur?
Von George Anadiotis


    Elektromobilität: Der Umweltbonus ist gescheitert
    Elektromobilität
    Der Umweltbonus ist gescheitert

    Trotz eines spürbaren Anstiegs zum Jahresbeginn kann man den Umweltbonus als gescheitert bezeichnen. Bislang wurden weniger als 100.000 Elektroautos gefördert. Wenn der Bonus Ende Juni ausläuft, sind noch immer einige Millionen Euro vorhanden. Die Fraktion der Grünen will stattdessen Anreize über die Kfz-Steuer schaffen.
    Eine Analyse von Dirk Kunde

    1. NXT Rage Elektromotorrad mit Kohlefaser-Monocoque vorgestellt
    2. Elektrokleinstfahrzeuge Verkehrsminister Scheuer will E-Scooter zulassen
    3. Urteil Lärm-Tempolimits gelten auch für Elektroautos

      •  /