WLAN-Kameras ausgeknipst: Wer hat die Winkekatze geklaut?
"Ist zu Hause alles in Ordnung? Was ist, wenn jemand einbricht?" fragt Google rhetorisch(öffnet im neuen Fenster) in seinem Online-Shop, denn: "Dank der Nest Cam Indoor-Kamera hast du dein Zuhause und deine Familie immer im Blick - auch wenn du gerade außer Haus bist." Doch die angepriesene Überwachungskamera der Google-Tochter Nest lässt sich mit wenigen Kommandozeilenbefehlen oder einem Wi-Fi-Deauther für etwa 30 Euro einfach ausknipsen - vorbei ist die trügerische Sicherheit und die Kontrolle. Damit ist die WLAN-Überwachungskamera allerdings nicht alleine - Golem.de hat vier Kameras von Abus, Nest, Yi Technology und Arlo getestet - bei allen konnten wir die WLAN-Verbindung kappen, von außen, ohne das Passwort des Wi-Fis zu kennen.
Für den Test haben wir vier möglichst unterschiedliche Produkte vom Babyphone bis zur Outdoorkamera gewählt; von Herstellern aus Deutschland, den USA und China ist alles dabei. Neben der klassischen WLAN-Kamera-Funktion spielt das Babyphone Arlo Baby auf Knopfdruck ein Schlaflied und sieht mit seinen Hasenohren für eine Überwachungskamera regelrecht knuffig aus. Die Outdoorkamera TVIP62561 von Abus ist erst vor kurzem auf den Markt gekommen und lässt sich gut an Hauswänden befestigen. Die beiden Indoor-Kameras Kami von Yi Technology und Nest Cam IQ Indoor sind klassische Vertreter der Smart-Home-Überwachungskameras, mit denen per Lautsprecher und Mikrofon mit den Familienmitgliedern oder etwaigen Einbrechern kommuniziert werden kann - wenn sie nicht gerade ausgeknipst wurden oder Hacker die Funktion missbrauchen .
Preislich liegen die Kameras zwischen 100 Euro (Kami) und 350 Euro (Nest). Eine Videotürklingel der Amazon-Tochter Ring können wir leider nicht ausprobieren, da der Hersteller Lieferprobleme hatte. Wir gehen aber davon aus, dass auch sie einfach ausgeschaltet werden kann.
Bis auf die Kamera von Abus können wir alle Kameras schnell und problemlos in Betrieb nehmen, meist per App, die die Zugangsdaten zu unserem Test-WLAN auf die Kamera überträgt. Bei Abus liegt ganz altmodisch eine CD mit einer Windows-Software bei. Auf dem Testrechner läuft allerdings weder Windows noch besitzt er ein CD-Laufwerk. Wir müssen ausweichen und sitzen eine ganze Weile daran, bis wir auch von der Abus-Kamera ein Bild bekommen. Per App können wir trotzdem nicht auf die Kamera zugreifen.
Alle Augen auf die Winkekatze
Nachdem alle vier Kameras ein Live-Bild auf unseren Rechner beziehungsweise auf die Android-Apps streamen, lassen wir sie aus Sicherheitsgründen unsere extrem wertvolle japanische Winkekatze filmen, damit die Überwachungskameras einen Diebstahl dokumentieren und uns über die Apps warnen. Bis auf die Abus-Kamera, deren App im Test nicht funktionierte. Doch die Sicherheit der Kameras hängt von einer Internetverbindung sowie von Wi-Fi und Strom ab - kann ein Angreifer eines davon abschalten, ist die Sicherheit dahin.
Keine der Kameras im Test hat einen Speicher beziehungsweise speichert die Videos zwischen, wenn die Internetverbindung oder das WLAN ausfällt. Einzig die Abus-Kamera kann auch per Kabel an das lokale Netzwerk angeschlossen werden und die Bilder auf einen Netzwerkspeicher schreiben. Wir verwenden sie allerdings als Wi-Fi-Cam, als welche sie auch beworben wird. Die Arlo Baby übersteht durch einen integrierten Akku zwar auch einen Stromausfall, aber ohne Strom brechen meist auch die Internetverbindung und das WLAN weg - die Kamera funktioniert nicht mehr.
Wir nehmen den Kameras die Internetverbindung.
Per Deauth das Wi-Fi ausknipsen
Wir konzentrieren uns auf das Wi-Fi, schaffen wir es, dieses zu stören, können die Kameras die Winkekatze nicht mehr überwachen. Für etwa 30 Euro können im Internet kleine Platinen mit Wi-Fi-Chip und Display erstanden werden, sogenannte Deauther. Diese nutzen eine Lücke im 802.11-Standard aus, die es erlaubt, sogenannte Deauth-Befehle zu versenden. Mit diesen unverschlüsselt übertragenen Befehlen kann ein Router einem Gerät mitteilen, dass es sich von dem Wi-Fi trennen soll. Solche Befehle lassen sich allerdings nicht nur von Routern, sondern auch von der Deauther-Platine an jedes beliebige Gerät - oder an alle Geräte - in einem WLAN schicken, ohne dass ein Angreifer mit dem WLAN verbunden sein muss. Sendet ein Deauther kontinuierlich solche Deauth-Befehle, kann er ein WLAN faktisch unbenutzbar machen, es ausknipsen.
Neben klassischen Platinen gibt es den Deauther von Dstike auch in Form einer Uhr(öffnet im neuen Fenster) aus zwei zusammengeschraubten Platinen mit Display, einem Akku und einem Armband. Mit der etwas klobigen Uhr lassen sich die Angriffe direkt vom Arm aus starten. Die Bedienung ist ausgesprochen simpel: Zuerst muss ein Scan durchgeführt werden, anschließend kann der Angreifer aus den gefundenen Wi-Fis und Access Points die anzugreifenden auswählen und die Deauth-Attacke starten.
Die Winkekatze stehlen, ohne erwischt zu werden
Wir wollen wissen, ob wir mit der Deauther-Uhr wirklich so einfach unsere Test-Kameras ausknipsen und die Winkekatze ungesehen stehlen könnten. Wir positionieren uns außerhalb des Sichtfeldes der Überwachungskameras und scannen Wi-Fis in der Nähe. Anschließend wählen wir das Wi-Fi Golem-Test aus, in dem sich die Überwachungskameras befinden, und drücken auf Attack. Die Winkekatze vor uns winkt fleißig, aber auf den Kamerabildern hat sie aufgehört zu winken. Nach einigen Sekunden wird bei der ersten Kamera ein Text über das Standbild gelegt: "Deine Kamera ist offline" . Der Nutzer soll sicherstellen, dass seine Kamera eingeschaltet und mit dem WLAN verbunden ist.
Alternativ lässt sich der Angriff auch mit einem handelsüblichen Laptop durchführen. Mit der Software Aircrack-ng lassen sich verschiedene Angriffe auf Wi-Fis durchführen, darunter auch die Deauth-Attacke(öffnet im neuen Fenster) . Auch hier können wir einen Scan durchführen, im Unterschied zu der Uhr sehen wir aber auch die Mac-Adressen der verbunden Geräte. Daraus lassen sich der Hersteller und zum Teil auch die Geräteart ableiten. Mit einem Kommandozeilenbefehl können die entdeckte Kamera oder einfach alle Geräte aus einen WLAN entfernt werden. Die Befehle können auch dazu verwendet werden, versteckte Kameras bei Airbnb zu entdecken .
Wir knipsen das WLAN per Deauth-Befehl aus. Wir streifen uns ein schwarzes T-Shirt und eine Sturmhaube über, um wie ein Hacker aus dem Bilderbuch auszusehen. Dann stehlen wir die Winkekatze vor den Augen der Kameras - die allerdings keine Bilder mehr in die Cloud, auf unseren Computer oder unser Smartphone übertragen. Auch die Apps warnen den Eigentümer nicht vor dem Diebstahl. Loggt sich der Kamerabesitzer in der Weboberfläche ein oder öffnet die entsprechende App, werden die Kameras schlicht als offline angezeigt. Bei manchen wird im Hintergrund sogar noch das vor dem Diebstahl aufgenommene Standbild angezeigt - mit Winkekatze. Von dem Diebstahl bekommt der Eigentümer schlicht nichts mit.
Erst wenn der Angreifer das Senden der Deauth-Befehle stoppt oder sich mitsamt dem Deauther aus der Funkreichweite der Kamera entfernt, verbindet sich diese wieder mit dem WLAN und setzt die Aufnahme fort - die Winkekatze kann sie jedoch nicht mehr filmen.
Doch es gibt auch Fallstricke, die günstigen Deauther funktionieren beispielsweise nicht mit jedem WLAN.
Der Angriff funktioniert meistens, aber nicht immer
Die Reichweite der Deauther ist zwar beschränkt, reicht jedoch für die Kameras in der Umgebung allemal - zudem könnte sie durch das Anbringen von Antennen erhöht werden. Allerdings unterstützen die Deauther von Dstike nur WLAN im 2,4-GHz-Band, 5 GHz werden derzeit nicht unterstützt. Auf dem Markt gibt es jedoch auch teurere Geräte mit größerer Reichweite(öffnet im neuen Fenster) und Funktionsumfang, die auch das 5-GHz-Band unterstützen.
Die Deauth-Lücke im Wi-Fi-Standard 802.11 wurde zwar bereits 2009 von der Wi-Fi Alliance geschlossen, allerdings wird der Schutz in der Realität fast nicht eingesetzt, erklärt der Sicherheitsforscher Stefan Kremser, der die Software für den Deauther(öffnet im neuen Fenster) entwickelt hat. Um einen Angriff zu verhindern, müsse sowohl der Client als auch der Access Point Protected Management Frames (PMF) unterstützen. Allerdings sei dies bei praktisch keinem Access Point aktiviert. Mit seiner Software möchte er auf die Problematik aufmerksam machen.
Doch selbst wenn ein WLAN gegen Deauth-Angriffe geschützt ist, lässt es sich immer noch stören. Angreifer könnten dann auf Jammer ausweichen, die Störsignale senden und auf diese Weise die Verbindung zwischen Kamera und Wi-Fi stören oder unterbrechen . Dazu kommen die beiden weiteren Schwachpunkte Strom und Internet, diese auszuknipsen ist zwar deutlich aufwendiger, aber nicht unmöglich. Alarmsysteme sollten jedoch nie von Funkverbindungen abhängig sein und auch bei einem Strom- oder Internetausfall weiter funktionierten - ansonsten gaukeln sie ihren Nutzern die Sicherheit nur vor.