27 Februar 2020
Zahlreiche Sicherheitslecks ermöglichen weitreichenden Zugriff auf private Daten
Sicherheitsforscher bei Bitdefender haben zahlreiche Schwachstellen im iBaby-Monitor M6S gefunden, einer beliebten Baby-Monitor-Kamera. Die bis heute vom Hersteller nicht gepatchten Schwachstellen ermöglichen Angreifern den Zugriff auf in die Cloud hochgeladene Fotos und Videos sowie auf private Daten wie E-Mail-Adresse, Name, Standort und Profilbild des Benutzers.
Babymonitore sind ein praktischer Helfer für Eltern, um ihre Kinder auch in Abwesenheit im Auge zu behalten. Doch viele Eltern scheinen sich der Risiken dieser mit dem Internet verbundenen Geräte nicht bewusst zu sein. Viele Geräte sind ein Sicherheitsrisiko. Ein weltweit beliebtes Produkt dieser Gattung ist das Modell Monitor M6S des Herstellers iBaby. In Kooperation mit der Zeitschrift PCMag hat Bitdefender das Gerät in Sachen Cybersicherheit genauer unter die Lupe genommen und kommt zu keinem guten Ergebnis.
Die Schwachstellen des iBaby Monitor M6S im Detail:
Zugriff auf Dateien in AWS: Die Kamera verwendet einen geheimen Schlüssel und eine Zugriffsschlüssel-ID, um bei einer Alarmmeldung Fotos oder Videos in die AWS-Cloud hochzuladen. Diese Schlüssel werden für die Verzeichnisauflistung und das Herunterladen von Alarmen (Video oder Foto) verwendet. In diesem Fall sind der Schlüssel und der Initialisierungsvektor (IV) für die Verschlüsselung jedoch vorhersehbar und können allein durch Kenntnis der Kamera-ID ermittelt werden. Ausgestattet mit der Kamera-ID und den Schlüsseln können Angreifer so auf die Dateien im AWS-Bucket zugreifen.
Informationsleck durch MQTT: Während ein Benutzer seine Kamera konfiguriert, können kritische Informationen über das MQTT-Protokoll von Angreifer mitgelesen werden. Hacker haben dann die Möglichkeit, mit den erhaltenen Zugangsdaten Videos zu streamen, Screenshots zu machen, Videos aufzuzeichnen oder Musik abzuspielen.
Durchsickern persönlicher Informationen durch eine IDOR-Schwachstelle: Durch eine IDOR-Schwachstelle (Indirect Object Reference) kann ein Angreifer Anfragen stellen und so die E-Mail-Adresse, den Namen, den Standort und das Profilbild des Kamerabesitzers erhalten. Cyberkriminelle können auch die Zeitstempel herausfinden, die zeigen, wann der Benutzer auf seine Kamera zugegriffen hat.
Alle Details zu der Vorgehensweise der Bitdefender Experten und den gefunden Schwachstellen wurden in einem detaillierten Bericht zusammengestellt, der hier heruntergeladen werden kann. Der Bericht ist Teil einer Serie, die Bitdefender gemeinsam mit PCMag entwickelt und die beleuchtet, wie es um die Sicherheit beliebter IoT-Geräte bestellt ist.
Hier ein paar Tipps, um das Heim-Netzwerk vor Eindringlingen zu schützen:
**************
Link zum detaillierten Bericht über die Schwachstellen des iBaby Monitor M6S:
https://www.bitdefender.com/files/News/CaseStudies/study/315/Bitdefender-Whitepaper-Severe-Vulnerability-in-iBaby-Monitor-M6S-Camera-interactive.pdf
MEDIENARBEIT
[email protected]BEZIEHUNGEN ZU BRANCHENANALYSTEN
[email protected]BEZIEHUNGEN ZU DEN INVESTOREN
[email protected]