Laut Consumer Reports weisen Türklingelkameras für 30 US-Dollar mehrere schwerwiegende Sicherheitslücken auf

Video-Türklingelkameras sind mittlerweile so weit verbreitet, dass sie auf Marktplätzen wie Amazon, Walmart, Temu und Shein für 30 bis 40 US-Dollar erhältlich sind. Die tatsächlichen Kosten für den Besitz eines solchen Geräts könnten jedoch viel höher sein.

Consumer Reports (CR) hat die Ergebnisse einer Sicherheitsuntersuchung zu zwei preisbewussten Türklingelmarken, Eken und Tuck, veröffentlicht, bei denen es sich laut CR weitgehend um die gleiche Hardware handelt, die von der Eken Group in China hergestellt wird. Die Kameras werden unter mindestens 10 weiteren Marken weiterverkauft. Die Kameras werden über eine gängige mobile App, Aiwit, eingerichtet . Und die Kameras haben noch etwas anderes gemeinsam, behauptet CR: „beunruhigende Sicherheitslücken“.

• Öffentliche IP-Adressen und WLAN-SSIDs (Namen) ohne Verschlüsselung über das Internet senden
• Übernahme der Kameras, indem Sie sie in den Pairing-Modus versetzen (was bei einigen Modellen über eine nach vorne gerichtete Taste möglich ist ) und über die Aiwit-App eine Verbindung herstellen
• Zugriff auf Standbilder aus dem Video-Feed und andere Informationen durch Kenntnis der Seriennummer der Kamera.

CR stellte außerdem fest, dass den Eken-Kameras ein FCC-Registrierungscode fehlte. Laut CR wurden im Januar 2024 mehr als 4.200 Stück verkauft und trugen häufig das Amazon-Label „Overall Pick“ (wie es ein Modell tat, als ein Ars-Autor am Mittwoch nachsah).

„Diese Video-Türklingeln von wenig bekannten Herstellern weisen schwerwiegende Sicherheits- und Datenschutzlücken auf und haben jetzt ihren Weg auf große digitale Marktplätze wie Amazon und Walmart gefunden“, sagte Justin Brookman, Direktor für Technologiepolitik bei Consumer Reports, in einer Erklärung. „Sowohl die Hersteller als auch die Plattformen, die die Türklingeln verkaufen, sind dafür verantwortlich, sicherzustellen, dass diese Produkte die Verbraucher nicht gefährden.“

CR gab an, dass es Verkäufer kontaktiert habe, bei denen es die Türklingeln zum Verkauf gefunden habe. Temu teilte CR mit, dass der Verkauf der Türklingeln eingestellt werde, aber „ähnlich aussehende, wenn nicht identische Türklingeln blieben auf der Website“, bemerkte CR.

Ein Walmart-Vertreter teilte Ars mit, dass alle von Consumer Reports erwähnten und von Dritten verkauften Kameras inzwischen von Walmart entfernt wurden. Der Vertreter fügte hinzu, dass Kunden möglicherweise Anspruch auf Rückerstattungen haben und dass Walmart den Verkauf von Geräten verbietet , für die eine FCC-ID erforderlich ist und keine vorhanden ist.

Ars hat Amazon um einen Kommentar gebeten und wird diesen Beitrag mit neuen Informationen aktualisieren. Eine E-Mail, die an die einzige Adresse gesendet wurde, die auf der Website von Eken zu finden war, wurde unzustellbar zurückgesendet. Die Social-Media-Konten des Unternehmens wurden zuletzt vor mindestens drei Jahren aktualisiert.

CR hat Eken und Tuck bezüglich seiner Erkenntnisse Schwachstellen offengelegt. In den Offenlegungen wird die Datenmenge erwähnt, die ohne Authentifizierung über das Netzwerk gesendet wird, einschließlich JPEG-Dateien, der lokalen SSID und der externen IP-Adresse. Darin heißt es, dass ein böswilliger Benutzer, nachdem er eine Türklingel erneut mit einem von der Aiwit-App generierten QR-Code gekoppelt hat, die vollständige Kontrolle über das Gerät hat, bis ein Benutzer eine E-Mail von Eken sieht und die Türklingel zurückerhält.

Mit wenigen Ausnahmen sind Video-Türklingeln und andere IoT-Kameras in der Regel auf Cloud-Verbindungen angewiesen, um Filmmaterial zu streamen und zu speichern sowie ihre Besitzer über Ereignisse zu benachrichtigen. Dies hat zu einigen erheblichen Datenschutz- und Sicherheitsbedenken geführt. Ende 2019 wurde festgestellt, dass Ring-Türklingeln WLAN-Zugangsdaten im Klartext übermittelten. Eufy, ein Unternehmen, das seine „No Clouds“-Angebote vermarktete, lud Gesichtsminiaturansichten auf Cloud-Server hoch , um Push-Benachrichtigungen zu senden, und entschuldigte sich später dafür und andere Schwachstellen . Der Kameraanbieter Wyze gab kürzlich bekannt, dass zum zweiten Mal in fünf Monaten Bilder und Video-Feeds nach einem längeren Ausfall versehentlich den falschen Kunden zur Verfügung standen .

Angebotsbild von Amazon/Eken