Smart Home Kameras

Smart Home Kameras weisen erhebliche Mängel auf

Die Durchdringung privater Haushalte mit vernetzten Smart Home-Geräten erhöht das Risiko, Opfer eines IT-basierten Angriffs von außen zu werden. Das Fraunhofer AISEC hat Überwachungskameras für den Innenbereich untersucht, die an Cloud-Plattformen angebunden sind. Dabei wurden erhebliche Sicherheitsmängel bei allen getesteten Geräten unterschiedlicher Hersteller festgestellt. Die IT-Sicherheitsforscher konzentrierten sich bei ihrer Analyse auf die in den Kameras verbauten Steuerungselemente und deren Anbindung an die Cloud-Dienste. Sie fanden heraus, dass sensible Nutzerdaten, beispielsweise Bild- und Videoaufzeichnungen, die in der Kamera gespeichert oder in die Cloud übertragen werden, unzureichend geschützt sind. Angreifer können die Überwachungssysteme aus der Ferne angreifen und manipulieren. Möglich wird das durch das geringe Sicherheitsniveau der Kameras, welche durch unzureichende Absicherung der Datenübertragung in die Cloud, eine Manipulation nicht verhindern können.

Kaffeeautomat, Fensterrollo, Licht, Temperaturregler, Überwachungskameras – Smart Home-Geräte sollen das eigene Zuhause bequemer, schöner und sicherer machen. Fast allen Geräten gemein ist deren Anbindung an Cloud-basierte Dienste, die bspw. eine Temperaturregelung von unterwegs über entsprechende Smartphone-Apps erlauben. Gerade diese Vernetzung und Anbindung birgt große Risiken. Vor allem die Minicomputer, die sich im Gerät befinden, die eingebetteten Systeme, können als Einfallstor für Angreifer dienen. „Es ist geradezu paradox, dass Smart Home-Kameras das Sicherheitsgefühl des Bewohners verstärken sollen, tatsächlich jedoch genau das Gegenteil bewirken“, so Bartol Filipovic, Abteilungsleiter und Experte für IoT-Security am Fraunhofer-Institut für angewandte und integrierte Sicherheit (AISEC). „Die Kameras erhöhen eher die Unsicherheit, denn nun können Angreifer die Kamerasysteme unbemerkt übernehmen, das Bild austauschen und dem Benutzer vorgaukeln, alles wäre in Ordnung“, so Filipovic weiter. Sein Team, bestehend aus Sicherheitsforschern im Bereich Eingebettete Systeme hat sich die Geräte und die von den Herstellern gepriesene Sicherheitsimplementierungen angeschaut. Mit zum Teil erschreckenden Ergebnissen.

 

Unsicher by Design

 

Vier handelsübliche Smart Home-Kamerasysteme (Smart Home Surveillance System) wurden buchstäblich auseinandergenommen, um die eingesetzten Sicherheitslösungen zu untersuchen. Durch Reverse Engineering und gezielte Angriffe gelang es, sensible Daten wie Passwörter und Schlüsselinformationen auszulesen sowie die Verschlüsselung zu brechen. Mit den gewonnenen Informationen gelang es ohne weiteres, die Cloud-Infrastruktur zu kompromittieren, die Kameradaten in der Cloud zu manipulieren und Zugriff auf das Echtzeitkamerabild des Benutzers zu erlangen. Nun es möglich, einem Nutzer, der über das Smartphone auf die Kamera zugreift, um zu sehen, ob zuhause alles in Ordnung ist, eine gefälschte Aufnahme vorzuspielen. Der Nutzer sieht zwar sein Zuhause, jedoch nicht als Echtzeitbild, sondern eine vom Angreifer gewählte Aufnahme und wähnt sich in Sicherheit. Einem Angreifer genügt eine eingehende Untersuchung eines Geräts bzw. des dort eingesetzten eingebetteten Systems, um somit an Standardinformationen zu kommen, die als Blaupause für viele Angriffe bei Kameras desselben Anbieters verwenden werden können.

„Die Vision vom Internet of Things wird erst dann zur Realität, wenn ausreichend IT-Sicherheit implementiert ist. Sicherheit ist in diesem Fall synonym für Vertrauen. Gerade in ihrem Zuhause, also im privatesten aller Bereiche, werden die Menschen keine Geräte einsetzen, denen sie nicht vertrauen. Internet of Things braucht mehr Sicherheit und wir entwickeln mit Nachdruck Konzepte und Lösungen dafür“, so die Einschätzung von Bartol Filipovic zum aktuellen Stand des Sicherheit bei IoT-Anwendungen. Kameras mit Sicherheitslücken tragen weder zum Vertrauen in die Technik noch in die Fähigkeiten der Hersteller bei. Der Schaden für den Nutzer zieht insbesondere einen Image-Schaden für den Hersteller nach sich. Im Anschluss an den Test hat Fraunhofer AISEC die Herstellerunternehmen informiert. Einige von ihnen haben bereits reagiert und entsprechende Updates veröffentlicht.