Sicherheitslücke bei Babymonitoren legte Millionen von Smart-Kameras offen

Eine kürzlich bekannt gewordene Sicherheitslücke bei Babyphones hat schwerwiegende Sicherheitsprobleme offengelegt, die Millionen internetfähiger Kameras und Smart-Home-Geräte betreffen. Forscher entdeckten, dass Hunderte Kameramarken dieselbe verwundbare Cloud-Infrastruktur nutzten, wodurch sensible Informationen über verschiedene Produkte hinweg zugänglich wurden.

Das Problem betraf Berichten zufolge Babyphones, Innenraumkameras und Überwachungssysteme für Haustiere, die über Amazon und andere große Onlinehändler verkauft wurden. Sicherheitsexperten warnten, dass die Schwachstellen private Schnappschüsse, Geräteinformationen und standortbezogene Daten von Haushalten weltweit offengelegt haben könnten.

Die Erkenntnisse sorgten zudem für breitere Bedenken rund um White-Label-Produkte im Smart-Home-Markt. Viele Geräte, die scheinbar von unterschiedlichen Unternehmen stammen, nutzen in Wirklichkeit dieselben Backend-Systeme, Firmware-Lösungen und mobilen Anwendungen.

Forscher führten das Problem auf gemeinsame Infrastruktur zurück

Der französische Sicherheitsforscher Sammy Azdoufal entdeckte die Schwachstellen bei der Analyse eines online gekauften Babyphones. Die Untersuchung zeigte später, dass mehr als 300 verschiedene Marken Berichten zufolge Infrastruktur des chinesischen Unternehmens Meari Technology nutzten.

Die Forscher erklärten, dass Verbraucher normalerweise nicht erkennen können, wenn unterschiedliche Smart-Home-Produkte identische Backend-Systeme teilen. Obwohl die Geräte unterschiedlich aussehen und unter separaten Markennamen verkauft werden, verwenden viele weiterhin dieselben Cloud-Dienste.

Laut Bericht könnten rund 1,1 Millionen Geräte von den Schwachstellen betroffen gewesen sein. Die Forscher betonten außerdem, dass es sich nicht um einzelne isolierte Fehler handelte. Stattdessen schienen die Sicherheitsprobleme tief mit der gesamten Systemarchitektur der Plattform verbunden zu sein.

Mehrere bekannte Smart-Kamera-Marken nutzten Berichten zufolge das betroffene Ökosystem, darunter Wyze, CloudEdge, Arenti, Intelbras und Petcube.

Sensible Gerätedaten wurden offengelegt

Die schwerwiegendste Schwachstelle betraf Berichten zufolge das MQTT-System, das für Benachrichtigungen und die Kommunikation zwischen Geräten genutzt wird. Die Forscher erklärten, dass unbefugte Nutzer potenziell Datenströme empfangen konnten, die mit Geräten anderer Kunden verbunden waren.

Die offengelegten Informationen umfassten Berichten zufolge:

• Externe IP-Adressen
• Ungefähre Standorte der Nutzer
• Bewegungsaktivierte Schnappschüsse
• Seriennummern der Geräte
• Kamera-Identifikatoren
• Nutzerbezogene Metadaten

Die Forscher entdeckten außerdem unzureichend geschützte Dateien, die über die Infrastruktur von Alibaba Cloud gespeichert wurden. Einige gespeicherte Bilder nutzten laut Bericht schwache Verschleierungsmethoden anstelle ordnungsgemäßer Authentifizierung, wodurch der Zugriff auf die Daten erleichtert wurde.

Die Schwachstellen erhielten später offizielle CVE-Kennungen und zogen die Aufmerksamkeit von Cybersicherheitsbehörden auf sich.

White-Label-Geräte sorgen weiterhin für Risiken

Der Vorfall verdeutlichte ein wachsendes Problem innerhalb der Smart-Home-Branche. Viele günstige Kameras und Babyphones basieren auf White-Label-Modellen, bei denen eine einzige Plattform Produkte antreibt, die unter Hunderten verschiedener Marken verkauft werden.

Diese Struktur kann massive Sicherheitsprobleme verursachen, wenn Schwachstellen die gemeinsame Infrastruktur betreffen. Statt nur einen Hersteller zu treffen, kann sich eine einzelne Sicherheitslücke gleichzeitig auf Millionen Geräte auswirken.

Cybersicherheitsforscher warnen seit Jahren vor unsicheren internetfähigen Kameras. Frühere Untersuchungen deckten offene Kamerafeeds, schwache Standardpasswörter und schlecht gesicherte Cloud-Speichersysteme im Zusammenhang mit Smart-Home-Geräten auf.

Sicherheitsexperten empfehlen mehrere Maßnahmen zur Risikominimierung:

• Standardpasswörter sofort ändern
• Zwei-Faktor-Authentifizierung aktivieren, wenn möglich
• Firmware-Updates regelmäßig installieren
• Nicht mehr unterstützte Geräte aus Netzwerken entfernen
• App-Berechtigungen sorgfältig prüfen
• IoT-Geräte vom primären Heimnetzwerk trennen

Einige Experten empfehlen zudem lokale Überwachungssysteme für Nutzer, die sich Sorgen über cloudbasierte Sicherheitsrisiken machen.

Fazit

Die neu entdeckte Sicherheitslücke bei Babyphones hat tiefere Schwächen im schnell wachsenden Markt für Smart-Home-Geräte offengelegt. Millionen Nutzer könnten unwissentlich Produkte verwendet haben, die mit derselben verwundbaren Infrastruktur verbunden waren, obwohl die Geräte unter völlig unterschiedlichen Markennamen verkauft wurden.

Der Vorfall zeigte außerdem, wie White-Label-Ökosysteme Cybersicherheitsprobleme in der gesamten IoT-Branche verstärken können. Da vernetzte Kameras weiterhin Einzug in Haushalte weltweit halten, erwarten Forscher steigenden Druck auf Hersteller, Transparenz zu verbessern, Sicherheitsmaßnahmen zu stärken und die Abhängigkeit von schlecht geschützten gemeinsamen Plattformen zu reduzieren.