Eigentlich haben Sicherheits-Kameras einen einzigen Nutzen: Sie sollen dafür sorgen, dass wir uns in unserem Zuhause sicherer fühlen. Ein Fehler beim Hersteller Wyze dürfte nun aber den gegenteiligen Effekt haben. Er erlaubte es beliebigen Fremden, tiefe Einblicke in den Alltag der Nutzer zu erhaschen. Doch statt seine Kunden zu schützen, schwieg der Hersteller lieber.
Das geht aus einem Bericht der Antiviren-Experten von Bitdefender hervor. Demnach gestattete es der Fehler, aus der Ferne über das Internet auf den lokalen Speicher von Wyze-Kameras zuzugreifen – und die dort gespeicherten Videos abzurufen. Besondere Hacker-Kenntnisse brauchte es dazu nicht: Weil keine Authentifikation nötig war, konnte man auf jede Kamera zugreifen, die im Internet zu finden war.
Schockierend einfach
Um von dem Fehler betroffen zu sein, reichte es nach Angaben der Experten, eine der Kameras mit dem Internet zu verbinden und eine beliebige SD-Karte einzulegen. Die Kamera richtete demnach automatisch eine eigene Web-Adresse ein. Weil sich darüber auch eine Log-Datei abrufen ließen, die die Zugangsdaten enthielt, ließen sich die auf der Kamera gespeicherten Videos, Bilder und Audioaufnahmen sowie sämtliche weitere durch den Nutzer darauf gespeicherten Daten über das Web abrufen. Die einzige Einschränkung: Man musste die ID der Kamera kennen. Die konnte etwa durch infizierte Geräte aus demselben Netzwerk abgerufen werden.
Dass das möglich war, wusste der Hersteller mindestens seit drei Jahren. Im März 2019 hatten Sicherheitsforscher von Bitdefender den Fehler gemeinsam mit zwei weiteren Problemen entdeckt und Wyze darüber informiert. Schon bei den anderen Fehlern ließ der Hersteller sich viel Zeit. Das erste Problem, mit dem sich der Log-In umgehen ließ, wurde erst nach einem halben Jahr behoben. Die zweite Lücke, die das Ausführen von Schadcode ermöglichte, entfernte man noch mal ein Jahr später. Der SD-Kartentrick funktionierte sogar noch länger: Erst im Januar diesen Jahres wurde das Problem offenbar behoben.
Wyze zeigt sich uneinsichtig
Das bedeutet aber nicht, dass die Nutzer der auch in Deutschland verkauften Kameras bereits sicher sind. Weil viele Kameras nicht automatisch Updates installieren, können die Lücken immer noch bestehen. Die sicherste Methode für Kunden ist daher, auf der Webseite des Herstellers selbst nach einem Update für die eigene Kamera zu suchen und dieses zu installieren. Für manche Modelle steht aber schlicht keins mehr zur Verfügung: Weil ein betroffenes Modell bereits seit Ende 2020 keine Updates mehr erhält, wird die Lücke dort nie geschlossen,
Besonders ärgerlich ist, dass der Fehler nie offen kommuniziert wurde. Ein Redakteur von “The Verge”, der selbst eine der Kameras nutzte, bekam lediglich im Februar diesen Jahres eine Mail, die ihn auf ein “erhöhtes Risiko” hinwies, wenn er das aktuelle Update nicht einspiele. Wodurch diese Gefahr entstand, wurde dort nicht erklärt. Man wies bloss darauf hin, dass die Kunden “vollständig auf eigenes Risiko” handelten, wenn sie es ignorierten. In einem Statement gegenüber “Bleeping Computer” ging Wyze nicht auf die Verzögerung ein. Und betonte nur, dass man den Fehler behoben habe.
Es ist nicht das erste Mal, das Sicherheitskameras für Fremde abrufbar sind. So lies sich vor einigen Jahren auch eine Aldi-Kamera aus dem Internet ansteuern – und gab sogar das Livebild weiter. Bei der Amazon-Tochter Ring waren Listen mit Zugangsdaten ins Netz geraten. Einige Internetnutzer machten sich einen Spaß daraus, sich reihenweise in die Zuhause der Nutzer einzuloggen.