Anzeige

Baby Monitor

Sicherheitsforscher bei Bitdefender haben zahlreiche Schwachstellen im iBaby-Monitor M6S gefunden, einer beliebten Baby-Monitor-Kamera. Die bis heute vom Hersteller nicht gepatchten Schwachstellen ermöglichen Angreifern den Zugriff auf in die Cloud hochgeladene Fotos und Videos sowie auf private Daten wie E-Mail-Adresse, Name, Standort und Profilbild des Benutzers.

Babymonitore sind ein praktischer Helfer für Eltern, um ihre Kinder auch in Abwesenheit im Auge zu behalten. Doch viele Eltern scheinen sich der Risiken dieser mit dem Internet verbundenen Geräte nicht bewusst zu sein. Viele Geräte sind ein Sicherheitsrisiko. Ein weltweit beliebtes Produkt dieser Gattung ist das Modell Monitor M6S des Herstellers iBaby. In Kooperation mit der Zeitschrift PCMag hat Bitdefender das Gerät in Sachen Cybersicherheit genauer unter die Lupe genommen und kommt zu keinem guten Ergebnis.

Die Schwachstellen des iBaby Monitor M6S im Detail:

Zugriff auf Dateien in AWS: Die Kamera verwendet einen geheimen Schlüssel und eine Zugriffsschlüssel-ID, um bei einer Alarmmeldung Fotos oder Videos in die AWS-Cloud hochzuladen. Diese Schlüssel werden für die Verzeichnisauflistung und das Herunterladen von Alarmen (Video oder Foto) verwendet. In diesem Fall sind der Schlüssel und der Initialisierungsvektor (IV) für die Verschlüsselung jedoch vorhersehbar und können allein durch Kenntnis der Kamera-ID ermittelt werden. Ausgestattet mit der Kamera-ID und den Schlüsseln können Angreifer so auf die Dateien im AWS-Bucket zugreifen.

Informationsleck durch MQTT: Während ein Benutzer seine Kamera konfiguriert, können kritische Informationen über das MQTT-Protokoll von Angreifer mitgelesen werden. Hacker haben dann die Möglichkeit, mit den erhaltenen Zugangsdaten Videos zu streamen, Screenshots zu machen, Videos aufzuzeichnen oder Musik abzuspielen.

Durchsickern persönlicher Informationen durch eine IDOR-Schwachstelle: Durch eine IDOR-Schwachstelle (Indirect Object Reference) kann ein Angreifer Anfragen stellen und so die E-Mail-Adresse, den Namen, den Standort und das Profilbild des Kamerabesitzers erhalten. Cyberkriminelle können auch die Zeitstempel herausfinden, die zeigen, wann der Benutzer auf seine Kamera zugegriffen hat.

Alle Details zu der Vorgehensweise der Bitdefender Experten und den gefunden Schwachstellen wurden in einem detaillierten Bericht zusammengestellt, der hier heruntergeladen werden kann. Der Bericht ist Teil einer Serie, die Bitdefender gemeinsam mit PCMag entwickelt und die beleuchtet, wie es um die Sicherheit beliebter IoT-Geräte bestellt ist.

Hier ein paar Tipps, um das Heim-Netzwerk vor Eindringlingen zu schützen:

1. Halten Sie Ihre Software immer auf dem neuesten Stand: Egal, ob es sich um ein Telefon, einen Computer oder ein Babyphone handelt, Sie sollten regelmäßig einen Check nach Softwareaktualisierung machen. Die Aktualisierung kann unter anderem wichtige Softwareänderungen enthalten, die Sicherheitslücken im Produkt schließen.

2. Wenden Sie eine Zwei-Faktor-Authentifizierung an: Bei der Zwei-Faktor-Authentifizierung wird ein separates Gerät verwendet, um Ihre Identität beim Zugriff auf ein Konto oder Gerät zu überprüfen. Dies ist beispielsweise der Fall, wenn Sie sich bei einem Konto anmelden und sich einen Verifizierungscode auf Ihr Telefon senden lassen. Und denken Sie daran, unterschiedliche und schwierige Passwörter für verschiedene Geräte und Online-Konten anzuwenden.

3. Scannen Sie Ihre Heimgeräte: Bitdefender bietet mit dem Bitdefender Home Scanner ein kostenloses Tool zum Scannen von Heimgeräten - und zur allgemeinen Sicherheit. Der Scanner sucht nach gefährdeten Geräten und Passwörtern in Ihrem Netzwerk und liefert Ratschläge zur Verbesserung der Sicherheit.

www.bitdefender.de
 


Weitere Artikel

Hacker

IDOR-Schwachstelle gefährdet Einzelhändler und E-Commerce

Hackerone warnt in seinem jüngst veröffentlichten Blogbeitrag vor der wachsenden Bedrohung vieler Unternehmen des Einzelhandels und des E-Commerce durch sogenannte Insecure Direct Object References (oder IDOR).
Hacker

Neue Cyberattacke zielt auf Microsoft Office und Adobe Photoshop Cracks

Bitdefender hat eine neue Bedrohung für Anwender entdeckt, die raubkopierte Versionen von Microsoft Office und Adobe Photoshop CC nutzen.

Deepfakes als kommende Bedrohung: Wie man einen bösen Flaschengeist bezwingt

Nach Ransomware wird der nächste gemeine Flaschengeist der Cyberkriminalität höchstwahrscheinlich die Erstellung von Deepfakes sein: Audio- und Videomaterial, erzeugt mittels künstlicher Intelligenz (KI) in böswilliger Absicht, etwa zu Manipulations- und…
Cyber Attack

Cyberangriffe gegen digitale Identitäten häufen sich

SailPoint Technologies veröffentlichte die Ergebnisse einer aktuellen Umfrage unter Sicherheits- und IT-Verantwortlichen, die klären sollte, warum auch große, ressourcenstarke Unternehmen weiterhin kompromittiert werden. Dabei trat ein gemeinsamer Nenner…
Ransomware

Ransomware: Immer mehr Unternehmen zahlen Lösegeld

Wer das Lösegeld nach einer Ransomware-Attacke zahlt, erhöht die Attraktivität der Malware für Cyberkriminelle, warnt das Royal United Services Institute (RUSI) in einem aktuellen Report.

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.