Digital Life
13.08.2018

Polizei-Bodycams lassen sich manipulieren

Auf der Sicherheitskonferenz Defcon in Las Vegas hat ein Sicherheitsforscher gezeigt, dass man auch Polizei-Bodycams hacken und manipulieren kann.

Josh Mitchell hat fünf verschiedene Bodycam-Modelle von unterschiedlichen Hersteller gehackt und das Bildmaterial bearbeitet, wie „Hackread“ berichtet.

Die von Mitchell gehackten Kameras sind von den Herstellern CeeSc, Digital Ally, Fire Cam, Patrol Eyes und Vievu (von Axon im Mai 2018 aufgekauft). Alle davon sind bei der US-Polizei im Einsatz, doch der Marktführer in dem Bereich, Axon, fehlt. Bodycams werden von der Polizei verwendet, um heikle Szenen zu dokumentieren. Wenn das Material verändert werden kann, wird ihr Einsatz obsolet.

Live-Beobachtung und Manipulation

Die Netzwerkadressen seien einfach zu erraten und man könne die Bodycams einfach aus der Ferne identifizieren, sobald sie aufgedreht sind. Das würde Hackern etwa ermöglichen, die Polizei-Aktivitäten live mitzuverfolgen und zwar von mehreren Kameras gleichzeitig, unabhängig von Zeit und Ort.

In der Kamera von Digital Ally ist es Mitchell gelungen, das gefilmte Material auch runterzuladen, zu editieren und zu modifizieren und wieder hochzuladen und zwar auf eine Art und Weise, ohne dass die Polizei dabei Verdacht schöpft. Außerdem war es möglich, bestimmte gefilmte Szenen einfach zu löschen, ohne dass diese je jemand zu Gesicht bekommen hat.

Kein Hersteller der Bodycams setzt derzeit auf Code-Signing, also digitale Zertifikate oder verschlüsselte Videos. Das bedeutet, dass Hacker das Material so bearbeiten können, dass die Polizei keine Chance hat rauszufinden, mit was oder wie das Material verändert worden ist.

Probleme auch beim Wifi

„Diese Videos sind so mächtig wie ein DNA-Beweis, aber wenn sie nicht ordentlich geschützt sind, besteht die Gefahr, dass das Material modifiziert oder ersetzt wird. Ich kann mich mit den Kameras verbinden, einloggen, Videos ansehen, diese verändern, oder die File-Struktur verändern. Das sind große Probleme“, so Mitchell.

Manche der Kameras können auch vorübergehende Wifi-Verbindungen zu anderen Geräten aufbauen. Diese Verbindungen sind nicht authentifiziert, was wiederum bedeutet, dass sich jeder verbinden und auf die File-Systeme zugreifen, oder die Bodycams mit Malware infizieren kann. Nur das Modell des Herstellers CeeSc war nicht mit Wifi ausgestattet, bei allen anderen vier Geräten war dieses Szenario möglich.

Zusätzlich gibt es dann noch Lücken in der dazugehörigen Desktop-Software, den mobile Apps oder Cloud-Plattformen, mit denen die Kameras interagieren. Mitchell wollte mit seiner Analyse aufzeigen, dass es bei Bodycams viele Sicherheitsprobleme gibt und auf Absicherung in dieser Hinsicht oft gänzlich vergessen wird. Da diese Kameras aus Beweismittel verwendet werden können, ist dies äußerst kritisch zu sehen.

Bodycams in Österreich

In Österreich gab es ein Jahr Tests mits Bodycams bei der Polizei, jetzt sollen sie in ganz Österreich eingeführt werden. Das Innenministerium rechnet damit, dass mit Jahreswechsel „in Echtbetrieb“ gegangen wird. Welche Modelle genau zum Einsatz kommen, ist noch nicht klar. Seit 1. Dezember testen auch die ÖBB Bodycams. 50 ÖBB-Securitys auf den Hauptbahnhöfen in Wien und Graz wurden mit den Kameras ausgestattet.