Der Zugriff auf Türklingelkameras kann auch nach einer Kennwortänderung beibehalten werden

Eine kürzlich durchgeführte Studie hat gezeigt, dass Benutzer bei Online-Konten nicht besonders daran interessiert sind, ihre Passwörter zu ändern, selbst wenn es Hinweise darauf gibt, dass ihre Anmeldedaten möglicherweise kompromittiert wurden. Sie sind eindeutig nicht besonders vertraut mit den potenziellen Gefahren, die damit verbunden sind, und viele von ihnen haben die Mentalität "Es wird mir nicht passieren" übernommen.

Wenn jedoch in ihren Häusern installierte Überwachungskameras betroffen sind, werden sie wahrscheinlich viel vorsichtiger sein. Die möglichen Auswirkungen auf die Privatsphäre einer Person sind viel offensichtlicher, und die Benutzer sind sich wahrscheinlich der Konsequenzen bewusster. Dies bedeutet, dass sie alle Tools zur Zugriffskontrolle verwenden, um sicherzustellen, dass ihre Kameras für Außenstehende nicht zugänglich sind. Ein anderes akademisches Forschungspapier zeigt jedoch, dass dies viel schwieriger sein könnte, als es scheint.

Bei IoT-Kameras bedeutet ein geändertes Passwort nicht unbedingt einen widerrufenen Zugriff

Die Studie wurde von Blake Janes, einem Studenten am Florida Institute of Technology, durchgeführt und basiert auf einem sehr plausiblen Szenario. Stellen Sie sich ein Paar namens Alice und Bob vor, die in einem Haus leben, das mit Sicherheits- und Türklingelkameras ausgestattet ist. Beide haben Zugriff auf den Live-Feed der Kameras und können diese steuern. Irgendwann trennten sich die beiden jedoch und Bob zog aus. Alice möchte sicherstellen, dass Bob keinen Zugriff mehr auf die Überwachungsgeräte hat. Deshalb ändert sie die Passwörter der Kameras oder verwendet andere verfügbare Tools, um sicherzustellen, dass nur sie den Stream sehen kann. Blake Janes hat herausgefunden, dass Bob mit vielen modernen Kameras auch nach der Kennwortänderung auf den Videostream zugreifen kann.

Janes nahm 19 der beliebtesten mit dem Internet verbundenen Kameras des letzten Jahres und führte gleich zwei Experimente durch. Zuerst versuchte er, den Zugriff auf die Kameras durch Ändern der Passwörter einzuschränken, stellte jedoch fest, dass nur 3 der 19 Geräte Bob sofort sperrten. Einige der Videostreams blieben nach der Kennwortänderung mehr als 30 Minuten lang verfügbar, und 4 der Kameras überließen Bob sogar Administratorrechte zur Steuerung der Geräte.

Das zweite Szenario beinhaltete das vollständige Widerrufen von Bobs Konto. 13 der 19 Kameras unterstützen mehrere Konten, und alle konnten Bobs Zugriff auf den Feed nicht sofort sperren. Acht von ihnen blieben länger als 30 Minuten geöffnet.

Es ist keine Sicherheitslücke, es ist ein Konstruktionsfehler

Der Authentifizierungsmechanismus bei diesen Geräten ist ziemlich komplex. Wenn sich Bob bei seinem Konto anmeldet, stellt er eine Verbindung zum API-Server des Herstellers her. Von dort erhält er ein Token, mit dem er auf den auf einem anderen Server gehosteten Stream der Kamera zugreifen kann. Wenn Alice das Passwort der Kamera ändert oder Bobs Konto widerruft, sperrt sie seinen Zugriff auf den API-Server, was bedeutet, dass Bob kein neues Token erhalten kann. Er hat jedoch bereits eine, und in einigen Fällen bleibt sie noch eine ganze Weile gültig.

Das Hauptproblem liegt im langen Ablauf des Tokens, obwohl Blake Janes auf andere Probleme wie fehlende Benachrichtigung beim Zugriff auf die Geräte und lockere Zugriffssteuerungsrichtlinien der Server selbst hinweist. Das Experiment zeigte, dass Googles Nest-Kameras unter denselben Problemen leiden, weshalb Janes im Rahmen des Bug-Bounty-Programms des Suchmaschinenriesen etwas mehr als 3.000 US-Dollar erhielt.

Wenn Sie jedoch seine Forschungsarbeit lesen, haben Sie den Eindruck, dass dies kein Fehler ist, sondern eine bewusste Designentscheidung. Der lange Ablauf des Tokens entlastet die Server und macht die ständige Eingabe von Benutzernamen und Passwörtern überflüssig. Dem Papier zufolge zeigen die Apps keine ständigen Zugriffsbenachrichtigungen an, um die so genannte Warnermüdung zu verringern. Mit anderen Worten, all diese Mängel sind das Ergebnis des Versuchs der Anbieter, die Geräte benutzerfreundlicher zu gestalten.

Es ist ein weiterer Triumph der Benutzerfreundlichkeit über die Sicherheit. Diesmal handelt es sich jedoch um Geräte, die uns und unsere Privatsphäre schützen sollen, weshalb einige Anbieter bereits an den Problemen arbeiten, die in den Untersuchungen von Blake Janes hervorgehoben wurden. Wir hoffen, dass sie bald Lösungen finden.