Digital Life
22.06.2018

Stillende Mutter von gehackter Babycam ausspioniert: "Kompletter Alptraum"

© Bild: Getty Images/iStockphoto / Reptile8488/iStockphoto

Eine Mutter entdeckte, wie die Babycam sie im Schlafzimmer beobachtet hatte. Sicherheitsforscher aus Österreich haben sich die chinesische Überwachungskamera nun genauer angesehen.

Eine Frau aus den USA saß auf ihrem Bett und sah plötzlich, wie sich die Baby-Überwachungskamera während des Stillens ihres Kindes vom Gitterbett zu ihr hindrehte und sie dabei beobachtete. Später konnte sie noch feststellen, dass die Babycam noch einmal selbstständig zurückschwenkte, als sie gerade nicht am Bett saß. Am nächsten Tag in der Früh zeigte die Kamera ebenfalls auf das Bett, in dem sie geschlafen hatte, obwohl sie diese per App wieder auf das Gitterbett ihres Kindes eingestellt hatte.

„Mein Herz ist mir in die Hose gerutscht. Ich fühlte mich so verletzt“, schrieb die Mutter, die in den USA lebt und die Kamera auf Amazon gekauft hatte, in einem Facebook-Posting und erntete große Resonanz. „Irgendwer hat mich über die Kamera tagelang bei meinen intimsten und persönlichsten Momenten zwischen mir und meinem Sohn beobachtet. Ich will eigentlich nie wieder in mein eigenes Schlafzimmer zurück“, so die Mutter. „Ich hatte keine Ahnung, dass so etwas überhaupt möglich ist.“

"Kompletter Alptraum"

Die junge Mutter wandte sich an Amazon, um die Kontaktdaten der Firma herauszufinden, die die Kamera hergestellt hat. Doch unter der E-Mail-Adresse und Telefonnummer in China meldete sich niemand. Die einzige Option, die der Frau übrigblieb, war die komplette Deinstallation der Kamera. Dasselbe empfahl sie daraufhin auch allen anderen, die diese Kamera gekauft haben. Ein Review auf Amazon konnte sie allerdings nicht hinterlassen, weil diese Option blockiert war. „Es war ein kompletter Alptraum. Wir haben auch alle Passwörter geändert und unsere WLAN-Sicherheit verbessert“, heißt es in einem Update auf Facebook.

Die betroffene Baby-Überwachungskamera FREDI wird auch bei Amazon.at verkauft. Sie ist dort mit 46,99 Euro gelistet und seit 7. März 2017 erhältlich. Beworben wird sie mit einem „360 Grad Blickwinkel bei Full-HD-Auflösung von 1920 x 1080 Pixel bei 25 Bilder pro Sekunde sowie einem Handy-Zugriff auf Live-Bilder via App.“ Sie kommt aus China, doch das ist aus der Produktbeschreibung auf Amazon nicht ersichtlich.

Unsicheres P2P-Cloud-Netz

Die österreichischen Sicherheitsforscher von SEC Consult rund um Stefan Viehböck haben die Kamera in Folge genauer unter die Lupe genommen, um nachzuvollziehen, wie es zu dem Hack im Schlafzimmer der jungen Mutter gekommen war. Der Schlüssel dazu liegt bei der Cloud-Verbindung.

Das Gerät verbindet sich dazu mit einer Cloud-Server-Infrastuktur des Herstellers über die aktivierte Funktion „P2P Cloud“. Damit wird auch eine Remote-Verbindung in private Netzwerke ermöglicht. Wenn die Datenverbindung nicht ordnungsgemäß verschlüsselt ist, kann dabei auch jeder, der die Verbindung abfangen kann, alle ausgetauschten Daten überwachen. Die Remote-Verbindung erfolgt über das Login mit einem ID-Code und Passwort. Das Standard-Passwort bei dem Gerät, das SEC Consult untersucht hatte, lautete: 123. Dieses sei „weder zufällig noch gerätespezifisch“, heißt es in dem Blogeintrag.

Standard-Passwort 123

„Wenn der Benutzer das Passwort nicht von sich aus mit einem sicheren Passwort ersetzt, kann sich jeder einloggen und mit der Kamera interagieren, indem er einfach verschiedene Cloud-IDs ausprobiert“, so die Sicherheitsforscher. In der Firmware konnten zudem schon im November 2017 „Lücken in der Authentifizierung“ festgestellt werden, durch die es möglich wird, sich aus der Ferne Zugriff auf die Kamera zu verschaffen. „Obwohl der Hersteller auf diese Probleme hingewiesen wurde, sind die Schwachstellen offensichtlich nie behoben worden“, so die Sicherheitsforscher. Dies wurde im Fall der Mutter aus den USA offenbar ausgenutzt.

Der Hersteller der Kamera sitzt in China und es handelt sich bei FREDI um ein lizensiertes Standard-Produkt, das unter einer neu ins Leben gerufenen Marke verkauft wurde. SEC Consult hat die Firma, die sich um die Kamera-Software, das Hardware-Design und das Cloud-Netzwerk kümmert, ausfindig machen können: Die Firma heißt Shenzhen Gwelltimes Technology Co., Ltd. und diese ignoriert und verletzt alle geltenden Datenschutz-Gesetze. „Es bleibt ein chinesisches Unternehmen, das unsichere Produkte entwickelt und unsere privatesten Informationen zu Servern nach China schickt.“

Kunden können wenig tun

Es ist nicht die erste Babycam, die zum Spion geworden ist. Das Problem an der Sache ist, dass es für Kunden nicht wirklich nachvollziehbar ist, woher ein vernetztes Produkt stammt und wie sicher es ist. Sie können diesbezüglich wenig tun. Auf der Website gibt es keinen eindeutigen Verweis nach Asien und sogar die Möglichkeit einer Kontaktadresse für den deutschsprachigen Raum. Dies lässt Nutzer erst einmal in dem Glauben, man würde sich um ihre Anliegen kümmern – auch wenn auf Mails offenbar nie jemand regiert.

„Niemand hat mich davor gewarnt, dass so etwas passieren kann“, schrieb die betroffene Mutter aus den USA. Sie wird womöglich nie wieder einer Babycam vertrauen können. Es bräuchte daher eine klarere Kennzeichnung, woher Produkte stammen sowie Sicherheitslabels, die kennzeichnen, wie schnell (und ob überhaupt) Hersteller reagieren, wenn offensichtliche Lücken entdeckt werden.