Anzeige

Baby Monitor

Sicherheitsforscher bei Bitdefender haben zahlreiche Schwachstellen im iBaby-Monitor M6S gefunden, einer beliebten Baby-Monitor-Kamera. Die bis heute vom Hersteller nicht gepatchten Schwachstellen ermöglichen Angreifern den Zugriff auf in die Cloud hochgeladene Fotos und Videos sowie auf private Daten wie E-Mail-Adresse, Name, Standort und Profilbild des Benutzers.

Babymonitore sind ein praktischer Helfer für Eltern, um ihre Kinder auch in Abwesenheit im Auge zu behalten. Doch viele Eltern scheinen sich der Risiken dieser mit dem Internet verbundenen Geräte nicht bewusst zu sein. Viele Geräte sind ein Sicherheitsrisiko. Ein weltweit beliebtes Produkt dieser Gattung ist das Modell Monitor M6S des Herstellers iBaby. In Kooperation mit der Zeitschrift PCMag hat Bitdefender das Gerät in Sachen Cybersicherheit genauer unter die Lupe genommen und kommt zu keinem guten Ergebnis.

Die Schwachstellen des iBaby Monitor M6S im Detail:

Zugriff auf Dateien in AWS: Die Kamera verwendet einen geheimen Schlüssel und eine Zugriffsschlüssel-ID, um bei einer Alarmmeldung Fotos oder Videos in die AWS-Cloud hochzuladen. Diese Schlüssel werden für die Verzeichnisauflistung und das Herunterladen von Alarmen (Video oder Foto) verwendet. In diesem Fall sind der Schlüssel und der Initialisierungsvektor (IV) für die Verschlüsselung jedoch vorhersehbar und können allein durch Kenntnis der Kamera-ID ermittelt werden. Ausgestattet mit der Kamera-ID und den Schlüsseln können Angreifer so auf die Dateien im AWS-Bucket zugreifen.

Informationsleck durch MQTT: Während ein Benutzer seine Kamera konfiguriert, können kritische Informationen über das MQTT-Protokoll von Angreifer mitgelesen werden. Hacker haben dann die Möglichkeit, mit den erhaltenen Zugangsdaten Videos zu streamen, Screenshots zu machen, Videos aufzuzeichnen oder Musik abzuspielen.

Durchsickern persönlicher Informationen durch eine IDOR-Schwachstelle: Durch eine IDOR-Schwachstelle (Indirect Object Reference) kann ein Angreifer Anfragen stellen und so die E-Mail-Adresse, den Namen, den Standort und das Profilbild des Kamerabesitzers erhalten. Cyberkriminelle können auch die Zeitstempel herausfinden, die zeigen, wann der Benutzer auf seine Kamera zugegriffen hat.

Alle Details zu der Vorgehensweise der Bitdefender Experten und den gefunden Schwachstellen wurden in einem detaillierten Bericht zusammengestellt, der hier heruntergeladen werden kann. Der Bericht ist Teil einer Serie, die Bitdefender gemeinsam mit PCMag entwickelt und die beleuchtet, wie es um die Sicherheit beliebter IoT-Geräte bestellt ist.

Hier ein paar Tipps, um das Heim-Netzwerk vor Eindringlingen zu schützen:

1. Halten Sie Ihre Software immer auf dem neuesten Stand: Egal, ob es sich um ein Telefon, einen Computer oder ein Babyphone handelt, Sie sollten regelmäßig einen Check nach Softwareaktualisierung machen. Die Aktualisierung kann unter anderem wichtige Softwareänderungen enthalten, die Sicherheitslücken im Produkt schließen.

2. Wenden Sie eine Zwei-Faktor-Authentifizierung an: Bei der Zwei-Faktor-Authentifizierung wird ein separates Gerät verwendet, um Ihre Identität beim Zugriff auf ein Konto oder Gerät zu überprüfen. Dies ist beispielsweise der Fall, wenn Sie sich bei einem Konto anmelden und sich einen Verifizierungscode auf Ihr Telefon senden lassen. Und denken Sie daran, unterschiedliche und schwierige Passwörter für verschiedene Geräte und Online-Konten anzuwenden.

3. Scannen Sie Ihre Heimgeräte: Bitdefender bietet mit dem Bitdefender Home Scanner ein kostenloses Tool zum Scannen von Heimgeräten - und zur allgemeinen Sicherheit. Der Scanner sucht nach gefährdeten Geräten und Passwörtern in Ihrem Netzwerk und liefert Ratschläge zur Verbesserung der Sicherheit.

www.bitdefender.de
 


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Weitere Artikel

Schlüsselloch

Windows XP Quellcode wurde angeblich geleaked

Einigen Medienberichten zufolge zirkuliert derzeit der Quellcode von Microsofts Windows XP frei zugänglich im Internet. Den Quellen zufolge erschien das knapp 43 Gigabyte große Datenpaket zunächst auf 4chan und wird derzeit über Torrents im Internet…
Ransomware

Maze-Ransomware jetzt noch gefährlicher

Seit fast eineinhalb Jahren treibt die Ransomware Maze ihr Unwesen. Bereits im Mai warnte das Sicherheitsunternehmens Sophos in einem Bericht vor den Machenschaften der Cyberkriminellen. Diese begnügen sich nicht damit, die Daten ihrer Opfer zu verschlüsseln,…
RDP

Hacker: Täglich millionenfache RDP-Angriffe auf Home-Offices

Die Sicherheitsexperten von ESET schlagen Alarm: Seit dem Corona-bedingten Umzug in das Home-Office hat sich die Anzahl der täglichen Hacker-Angriffe auf Remote-Desktop-Verbindungen (RDP) im DACH-Raum mehr als verzehnfacht. Allein im Juni 2020 verzeichnete…
Cybercrime

eCrime nimmt an Volumen und Reichweite weiter zu

CrowdStrike, ein Anbieter von Cloud-basiertem Endpunktschutz, gab heute die Veröffentlichung des CrowdStrike Falcon OverWatchTM 2020 Threat Hunting Report bekannt.

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!