Günstige digitale Videoklingeln weisen schwere Sicherheitslücken wie Authentifizierungsprobleme auf und werden teils schon mit Softwarefehlern geliefert.

Mit der IT-Sicherheit "intelligenter", mit Videokameras bestückter Türklingeln, die sich für vergleichsweise wenig Geld auf Online-Marktplätzen wie Amazon, eBay oder Wish erstehen lassen, ist es nicht gut bestellt. Dies hat ein Test der IT-Sicherheitsfirma NCC Group für das britische Online-Magazin "Which?" ergeben. Die ausgemachten Schwachstellen reichen demnach von fest in die Hardware kodierten Anmeldeinformationen über Authentifizierungsprobleme bis zum Datentransfer nach China. Teils werden die Geräte geliefert, ohne dass aktuelle Sicherheitsupdates eingespielt und seit Langem bestehende kritischen Fehler behoben sind.

Ein IoT-Albtraum

Die Forscher sollten herausfinden, was smarte Klingeln taugen, die deutlich weniger kosten als die Marktführer von Amazon Ring oder Google Nest und meist aus China kommen. Sie untersuchten Modelle von Victure, Qihoo und Accfly sowie markenlose Produkte mit Titeln wie "HD Wi-Fi Video Doorbell V5", "Smart WiFi Doorbell (YinXn)" oder "Smart Wifi Doorbell – XF-IP007H".

Insgesamt stellen die Experten den Geräten ein schlechtes Zeugnis aus, das einem "Albtraum" im Bereich des Internets der Dinge gleichkomme. Die Sicherheitsprobleme seien jenseits von aggressivem Datensammeln massiv. Zudem hätten sich einige der Videoklingeln als "Klone" des Victure-Modells erwiesen, die dessen Fehler nicht nur übernommen, sondern teils noch verschlimmert hätten. So enthielt das Original etwa einen undokumentierten HTTP-Dienst auf Port 80. Dieser erforderte zwar Anmeldedaten die sich jedoch leicht von einem der "Copy Cats" extrahieren ließen. In Logdateien fanden sich unverschlüsselt WLAN-Kennungen und Passwörter.

Die Smartphone-Apps zur Steuerung der digitalen Klingeln setzten ebenfalls auf unverschlüsselte Kommunikation, was Hackern das Leben leicht macht. "Auf einer Reihe von Geräten wurde HTTPS nicht erzwungen oder existierte nicht einmal als Kommunikationsmethode für eine Reihe von mobilen Anwendungen", heißt es in der Analyse. Die Victure-Mobilanwendung habe etwa ein Root-Zertifikat über eine HTTP-Anfrage angefordert. So könnten mit einfachen Testinstrumenten sensible Informationen Benutzernamen und Passwörter mitgeschnitten werden.

So viele Angriffsmöglichkeiten

Beim Qihoo-Gerät stießen die Prüfer auf einen undokumentierten, voll funktionsfähigen DNS-Dienst. Ein solcher könne prinzipiell einfach als Kanal für die Verbreitung von Malware missbraucht werden. Aktuelle Hinweise auf ein solches aktives "Karnickel-Loch" seien aber nicht feststellbar gewesen.

Ein weiterer möglicher Angriffsvektor war der Missbrauch von QR-Codes. Ein Hacker, der Zugriff auf das Cloud-basierte Kamera-Backup eines Nutzers habe, könnte damit auch den abfotografierten QR-Code des Geräts in die Finger bekommen, ist dem Bericht zu entnehmen. Der Angreifer könne diesen entschlüsseln und die WLAN-Daten mit Passwort auslesen.

Den Forschern zufolge ist die Klingel-Hardware auch oft nicht sicher befestigt. Sie ließ sich dann leicht entfernen und manipulieren. Die Geräte säßen meist locker in einer angeschraubten oder angeklebten Halterung. Sie könnten so binnen weniger Sekunden entwendet werden. Nur eines der Kamerasysteme verfügte über einen Drucksensor, der bei Manipulation einen Alarm auslöste. Auch dies könne aber über einen 2,4-GHz-Störsender verhindert werden.

Keine guten Worte

Mithilfe der Hardware sei ein Angreifer in der Lage, die von der Klingel aufgenommenen und auf einer SD-Karte gespeicherten Videos abzugreifen, halten die Experten fest. So könne er etwa das typische Verhalten der Bewohner ausforschen. Außerdem lasse sich die Firmware extrahieren, um etwa wiederum die Zugriffsdaten auf ein Netzwerk zu erhalten oder weitere Schwachstellen auszumachen.

So stellten die Forscher fest, dass eines der Geräte noch für "Key Reinstallation Attacks" (Krack) anfällig war. Diese WLAN-Lücke sollte eigentlich seit 2019 abgedichtet sein. Sie ermöglicht es Angreifern, verschlüsselten Datenverkehr im Klartext mitzulesen, Informationen zu entwenden und – je nach Netzwerkkonfiguration – Schadcode einzuschleusen. Accfly und Victure, die als einzige Kontaktinformationen veröffentlicht haben, reagierten auf Anfragen von Which nicht. Zuvor hatten US-Bürgerrechtler kritisiert, dass auch Ring-Apps große Datenschleudern seien.