Babyphones sollen Eltern eigentlich dabei helfen, den sicheren Schlaf ihrer Kleinen zu überwachen. Bei den Geräten von Hersteller Victure besteht allerdings eine kritische Sicherheitslücke, die Angreifern aus der Distanz den Zugang zu den Babykameras gewährt – und das schon seit über 10 Monaten.
Millionen Geräte bedroht
Sicherheitsforscher von Bitdefender berichten, dass man bereits seit über 10 Monaten versuche, Hersteller Victure über eine kritische Sicherheitslücke zu informieren. Allerdings bislang ohne Erfolg. Nun sind die Forscher an die Öffentlichkeit gegangen und haben vollumfänglich über die Sicherheitslücke informiert, die bei verschiedenen Babyphones und Sicherheitskameras des Herstellers besteht.
Vor allem das Babyphone PC420 von Victure sei konkret betroffen, wie es im entsprechenden Beitrag heißt. Auch die eigene Cloud-Plattform IPC360 des Herstellers sei vor Angriffen nicht geschützt, insgesamt seien laut Schätzung der Forscher rund vier Millionen Geräte betroffen.
Im schlimmsten Fall könnten Angreifer die vollständige Kontrolle über die Geräte erlangen und Zugriff auf Videos erhalten, so die Forscher weiter. Das Identifizierungsschema für Cloud-Nutzer sei derart simpel, dass potenzielle Angreifer einfach gültige IDs erraten könnten, um darüber unrechtmäßigen Zugriff auf die Daten zu erhalten.
Lokale Attacken im Netzwerk seien sogar noch deutlich einfacher, weil unter anderem bekannte Standard-Logindaten zum Einsatz kommen. So könnten Angreifer äußerst niedrigem Aufwand auf die Live-Videostreams der Babyphones und Sicherheitskameras zugreifen.
Victure reagiert nicht
Hersteller Victure sei laut den Forschern von Bitdefender bereits im November 2020 erstmals über die kritische Sicherheitslücke informiert worden. Auch nach mehreren Erinnerungen sollen sie bis heute keine Antwort erhalten haben. Einen Sicherheitspatch hat der Hersteller entsprechend noch nicht bereitgestellt, sämtliche potenziell betroffenen Geräte sind also noch immer ungeschützt.