Digital Life
21.02.2018

Mi-Cam HD: Baby-Überwachungskamera als Spion im Kinderzimmer

Die Wiener Sicherheitsforscher SEC Consult haben mehrere Sicherheitslücken bei der Baby-Überwachungskamera Mi-Cam HD gefunden.

Baby-Überwachungskameras, die man per WiFi mit dem Heimnetzwerk verbinden kann, können praktisch sein. Doch man sollte aufpassen, wenn sie die Daten in die Cloud schicken, wie die Sicherheitsforscher der Wiener Firma SEC Consult warnen. Sie haben speziell die „Mi-Cam HD“, eine WiFi-Überwachungskamera, die man aus der Ferne per App beobachten kann, der Firma MiSafes unter die Lupe genommen und dabei zahlreiche Sicherheitslücken entdeckt. Laut den offiziellen Statistiken aus dem Google Play Store scheinen mehr als 52.000 User-Accounts betroffen zu sein.

Der Tipp der Sicherheitsforscher: „Die Verwendung des Mi-Cam-Baby-Monitors und der dazugehörigen Android-App beinhaltet zahlreiche Anfragen in der Cloud und wir haben mehrere kritische Sicherheitslücken bei diesem Produkt gefunden. Wir raten davon ab, das Produkt zu verwenden, bevor diese Lücken behoben worden sind. Obwohl Hardware, die mit der Cloud verbunden ist, viele Vorteile für Nutzer bietet, beinhaltet sie auch viele Gefahren für Kunden, wenn die IT-Sicherheit nicht richtig implementiert wurde.“

Zugriff und Schwachstellen

Doch wo liegen jetzt eigentlich die Probleme? Über die App lässt sich die Authentifizierung in bestimmten Programmierschnittstellen umgehen. Das bedeutet, dass Angreifer auf Account-Informationen und die dazugehörigen Videobilder über verschiedene Programmierschnittstellen, darunter etwa /family/get_list, zugreifen können. "Die App greift im Hintergrund auf einen Serverteil über die API zu. Ein Angreifer kann diese Befehle abfangen und manipulieren. Das Problem ist z.B. bei Schwachstelle eins, dass das Session Management unzureichend ist, d.h. man benötigt keinen gültigen Sessiontoken, sondern kann sich mit einem beliebigen Token authentifizieren. Das zweite Problem ist, dass die UID für diesen Befehl, die einen Benutzer eindeutig identifiziert, leicht manipuliert werden kann, indem eine Nummer hochgezählt wird. Ein Angreifer erhält somit Zugriff auf andere Daten (Audio/Video), wie z.B. in unserem Video ersichtlich ist", erklärt Johannes Greil von SEC Consult.

Außerdem besteht der „Root“-Nutzer des Geräts nur einen vierstelligen Code, was heutzutage als sehr schwach und verwundbar angesehen wird, wie SEC Consult auf seinem Blog schreibt. Die Funktion zum Zurücksetzen des Passworts verrät außerdem ein paar Details über existierende Nutzer, die von Kriminellen wiederum dazu verwendet werden könnten, sogenannte „Brute Force“-Attacken durchzuführen, um Zugriff auf die Überwachungskameras zu erlangen. Des Weiteren kann das Passwort eines beliebigen Benutzers durch eine Schwachstelle in der „Passwort vergessen“-Funktion verändert und somit der persönliche Account komplett gekapert werden. Zudem haben die Hersteller laut SEC Consult die Firmware nicht auf dem aktuellen Stand der Dinge und es lassen sich dadurch ein paar bereits vorher bekannte Sicherheitslücken ausnutzen. Mehr zu den Schwachstellen findet ihr im Security-Advisory.

Keine Reaktion

Die Sicherheitsforscher von SEC Consult haben den Hersteller am 6. Dezember 2017 zum ersten Mal kontaktiert, um auf die Security-Probleme bei der Kamera aufmerksam zu machen und ihre Kontaktaufnahme im Jänner mehrfach wiederholt. Auch eine Kontaktaufnahme mit dem chinesischen CERT blieb unbeantwortet. Nach dieser mehrmonatigen Wartezeit haben sich die Sicherheitsforscher von SEC Consult nun dazu entschlossen, die Informationen in einem Blogpost zu veröffentlichen. Für die Sicherheitslücken gibt es derzeit kein Update.

Die „MiCam HD“ dürfte nicht der einzige Hersteller sein, der diese Sicherheitsprobleme hat. Auch die „Qihoo 360 Smart Home Camera“ dürfte mit demselben Cloud-Server kommunizieren. Die Sicherheitsforscher haben dies allerdings nicht selbst nachgeprüft. SEC Consult hatte zuletzt mit ihrer Forschung zu vernetztem Sexspielzeug aufhorchen lassen. Dieses verriet intime Daten und Passwörter.