Schwachstellen bei „intelligenten“ Türklingeln

Die Weihnachtszeit ist offiziell da. Jetzt ist ein guter Zeitpunkt, um tolle Angebote zu finden, aber seien Sie vorsichtig: Seien Sie vorsichtig bei Angeboten, die „zu gut, um wahr zu sein“. CyberHoot bloggte über Black Friday-Betrug Wir haben kürzlich die Methoden von Hackern untersucht, mit denen sie Nutzer dazu verleiten, persönliche Informationen preiszugeben oder Produkte zu „kaufen“, die nie ankommen. Nun widmen wir uns einem Produkt, das in dieser Saison sehr beliebt ist: „intelligenten“ Türklingeln.

Intelligente Türklingeln haben in den letzten ein bis zwei Jahren für Aufsehen gesorgt. Hausbesitzer können nun eine internetfähige Türklingel nutzen, die sie benachrichtigt, wenn Besucher eintreffen. Die Klingel wird aktiviert, wenn sie gedrückt wird oder eine Bewegung registriert wird. Über eine Smartphone-App kann der Hausbesitzer mit dem Besucher über die hochauflösende Infrarotkamera und das Mikrofon der Türklingel kommunizieren. Manche intelligente Türklingeln ermöglichen zudem das Fernöffnen der Tür. Diese Annehmlichkeiten haben zu der wachsenden Beliebtheit dieser Geräte geführt. Doch Vorsicht: Viele dieser Geräte hinterlassen klaffende virtuelle Löcher in der Haustür.

Studie zur Sicherheit „intelligenter“ Türklingeln

Hersteller versuchen, als erste mit neuen Technologien auf den Markt zu kommen. Dies bedeutet oft, dass bei Tests, Überprüfungen und Sicherheitsvorkehrungen gespart wird. Daher enthält diese neue Technologie oft IoT-Gerät Risiken. Ein letzter Test Eine Untersuchung von 11 hoch bewerteten (Fünf-Sterne- und Editors-Empfehlung) intelligenten Türklingeln ergab, dass jede von ihnen mindestens einen Sicherheitstest nicht bestand, oft jedoch viel mehr.

Victure WiFi-Video-Türklingelkamera

Die beliebte Victure-Türklingel (links) kostet 60 US-Dollar und ist ein Bestseller auf Amazon (4.5 von 5 Sternen bei über 400 Nutzerbewertungen). Das getestete Modell, die Victure VD300, sendet den Namen Ihres WLAN-Netzwerks und Passwort für Server in China unverschlüsselt. Jeder Hacker, der diese Daten abfangen kann, könnte in Ihr Heimnetzwerk eindringen und Zugriff auf andere Geräte darin erhalten.

Ein anderer ohne Markenzeichen Eine Türklingel auf Amazon, die identisch mit diesem Victure-Modell aussah, wies genau dieselben Schwachstellen auf. Es ist nicht abzusehen, wie viele „geklonte“ Türklingeln mit ähnlichen oder anderen Gehäusen dieselbe zugrunde liegende, unsichere Software und Hardware verwenden.

Ctronics CT-WDB02 Drahtlose Video-Türklingel

Eine Video-Türklingel der Marke Ctronics für etwa 70 US-Dollar wies eine kritische Schwachstelle auf, die es Cyberkriminellen ermöglichte, das Netzwerkpasswort zu stehlen und damit nicht nur die Türklingeln und den Router, sondern auch andere IoT-Smart-Geräte im Haus (z. B. Thermostat, Kamera oder sogar einen Laptop) zu hacken. Auch die oben getestete Victure-Türklingel wies dieselben Schwachstellen auf.

Diese Marke Ctronics bietet auch identisch aussehende Modelle ohne Markennamen für diejenigen an, die für ihre intelligente Türklingel etwas weniger ausgeben möchten.

Smarte Türklingeln ohne Markenzeichen vs. mit Markenzeichen („Ring“)

Diese Studie fand dieses markenlose Modell auf eBay. Obwohl es einer Ring-Türklingel ähnelt, ist es keine. Ein Fehler in dieser Türklingel kann sie leicht in den Pairing-Zustand versetzen. Dadurch wird sie offline geschaltet, was es einem Kriminellen ermöglichen könnte, die Kontrolle über sie zu übernehmen, um die Türklingel zu stehlen oder die Aufzeichnung während eines Einbruchs zu unterbinden. Als der Verkäufer dieses Produkts auf diese Mängel aufmerksam gemacht wurde, entfernte er das Angebot umgehend von eBay. Diese markenlosen Ring-Imitate sind jedoch weiterhin erhältlich. wie Walmart, für nur 38 Dollar im Vergleich zu einer Ring Smart Doorbell, die zwischen 99 und 199 Dollar kostet! Wie in diesem Sicherheitsartikel erwähnt, sind Ring-Türklingeln sind in puncto Sicherheit nicht viel besser dranKäufer dieser Technologien müssen sich dieser Risiken bewusst sein. CyberHoot rät, sie regelmäßig zu aktualisieren und Mainstream-Produkte (auch bekannt als Ring) zu kaufen, da diese mit größerer Wahrscheinlichkeit vollständig unterstützt, regelmäßig gepatcht und intensiver getestet werden.

Weitere Sicherheitsrisiken von „intelligenten“ Türklingeln

• KRACK – Ein Gerät, das bei eBay gekauft wurde, ohne dass eine eindeutige Marke damit in Verbindung stand, war anfällig für einen kritischen Exploit namens KRACK (Angriffe zur Neuinstallation von Schlüsseln). Dabei handelt es sich um eine Schwachstelle im WLAN-Authentifizierungsprozess, die es einem Angreifer ermöglichen würde, die WPA-2-Sicherheit im WLAN einer Person zu umgehen und so Zugriff auf deren Netzwerk zu erhalten.
• Fehlende Datenverschlüsselung – Jedes Gerät in Ihrem Netzwerk hat Zugriff auf Ihr WLAN-Konto und Passwort, und einige der Türklingeln waren versehentliches unverschlüsseltes Senden dieser Daten an chinesische ServerDas bedeutet, dass Hacker auf diese Daten zugreifen und sie verwenden könnten, um andere mit Ihrem Netzwerk verbundene Geräte zu infiltrieren, darunter Smartphones, Tablets und Laptops.
• Übermäßige Datenerfassung – Wie viel muss Ihre Türklingel wirklich über Sie wissen? In manchen Fällen viel zu viel, beispielsweise den genauen Standort des Geräts, der dann online für findige Hacker verfügbar gemacht werden könnte.
• Richtlinien für schwache Passwörter – Diese Modelle fordern Sie nicht auf, Ihr Passwort zu ändern, und verfügen über ein einfaches Standardpasswort, das ein Hacker in Sekundenschnelle knacken könnte. Außerdem lassen sie sich zu leicht auf das Standardpasswort zurücksetzen, was bedeutet, dass Hacker leicht Zugriff auf Ihre WLAN-Netzwerkkennwort und Ihr Gerätekonfigurationskennwort.

So bleiben Sie sicher

• Schauen Sie sich die Marke an – Wenn Sie die Marke noch nicht kennen oder es gar keine gibt, sollten Sie skeptisch sein. Bleiben Sie bei einer etablierten Marke wie der Ring Smart Doorbell von Amazon, da diese von Amazon und seiner umfangreichen Forschungs- und Entwicklungsarbeit unterstützt wird.
• Überprüfen Sie Bewertungen Wie der Bericht gezeigt hat, kann man Bewertungen nicht immer vertrauen. Suchen und lesen Sie negative Bewertungen, suchen Sie darin nach den Begriffen „Sicherheitslücke“ oder „Sicherheitsrisiko“ oder googeln Sie das Gerät und entscheiden Sie selbst, ob der Nutzen das Risiko wert ist.
• Ändern Sie das Standardkennwort – Dies gilt für jedes internetfähige Gerät (auch bekannt als IoT-Gerät). Ändern Sie immer die Standardpasswörter des Geräts. Am schwierigsten zu hacken sind komplexe und einzigartige Passwörter mit mehr als 14 Zeichen. Passwörter/Passphrasen. Speichern Sie diese Passwörter in einem Passwort-Manager.
• Auf dem Laufenden halten Software-Updates sind üblich und bringen manchmal neue Funktionen (Sonos 2.0, jemand?), aber häufiger beheben sie Sicherheitsprobleme und Probleme. Prüfen Sie, ob sich Ihre Türklingel automatisch aktualisiert, und aktivieren Sie diese Funktion, falls vorhanden. Besser noch: Kaufen Sie kein Gerät, das sich nicht automatisch aktualisiert.
• Aufbauen Zwei-Faktor-Authentifizierung – Diese Option ist nicht immer verfügbar, sollte aber aktiviert werden. Sie bietet zusätzliche Sicherheit, indem sie zusätzlich zum Passwort einen individuellen Code an Ihr Telefon sendet, der für den Zugriff auf das Gerät verwendet wird. Für Hacker ist es sehr schwierig, auf diese individuellen Codes zuzugreifen. Daher ist es wichtig, 2FA für alle verfügbaren Konten und Geräte einzurichten.

Wenn Sie auch nur den geringsten Zweifel haben, sparen Sie am besten. Wenn es um Sicherheitsgeräte für Ihr Zuhause geht, riskieren Sie nicht, Ihre Sicherheit zu verschlechtern, nur weil Sie dieses schicke neue Gerät haben möchten.

Quellen

Canitec

Welche?

NakedSecurity – Sophos

Weitere Leseempfehlungen

Seien Sie vorsichtig bei „Black Friday“-Betrug

Sicherheitslücke in intelligenten Türklingeln kann Hackern Tür und Tor öffnen

Sichern Sie Ihr Unternehmen noch heute mit CyberHoot!!!

Jetzt anmelden