Der Hacker im Smart Home: Amazons Ring-Kameras werden immer öfter gehackt

Neben Polizeibehörden, die immer öfter auf Videos von Ring-Kameras zugreifen, veranstalten jetzt auch noch Hacker ihre Shows in den Schlafzimmern der Käufer.

In Pocket speichern vorlesen Druckansicht 462 Kommentare lesen
Der Hacker im Schlafzimmer: Amazons Ring-Kameras werden massenhaft gehackt

Die Popularität der Überwachungs-Produkte der Amazon-Tochter Ring zieht nicht nur Kunden, sondern auch Hacker an.

(Bild: Ring)

Lesezeit: 6 Min.
Von
  • Fabian A. Scherschel
Inhaltsverzeichnis

Video-Klingeln und Überwachungskameras der Amazon-Tochter Ring sind momentan äußerst beliebt. In vielen Tech-Magazinen finden sich Empfehlungen für diese Geräte, die das Smart Home sicherer machen sollen. Eine Reihe von Rabatten – vor allem in der Shopping-Woche nach Thanksgiving – sorgte wohl dafür, dass die Kameras auch in Deutschland unter vielen Weihnachtsbäumen liegen werden. Wer eins der Geräte gekauft hat, sollte unbedingt sicherstellen, dass sein Ring-Konto mit einem sicheren Passwort oder besser noch per Zwei-Faktor-Anmeldung, geschützt ist. Denn Hacker haben die Kameras für sich entdeckt und greifen sie verstärkt an. Mittlerweile sogar mit speziell dafür geschriebenen Hacker-Tools.

Angriffe auf Ring-Kameras werden anscheinend vor allem deswegen immer häufiger, weil in den USA mehrere Fälle für großen Wirbel in den Medien gesorgt haben. Ein Fall aus Mississippi, bei dem ein Hacker in einem Kinderzimmer einer ahnungslosen Familie den leicht gruseligen Song “Tiptoe Through The Tulips” von Tiny Tim abspielte und eine Achtjährige wüst beschimpfte, schaffte es bis in die New York Times.

In einem anderen Fall aus Florida hackte sich ein Unbekannter in die Ring-Kameras einer Familie, spionierte sie tagelang aus und aktivierte an einem Sonntag-Abend auf einmal die Alarmsirene. Dann moderierte er eine Art Hacker-Podcast im Wohnzimmer der Familie und beschimpfte Eltern und Sohn aus den Lautsprechern der Ring-Kameras mit fremdenfeindlichen Kraftausdrücken. Bei Lokalsendern in den USA finden sich weitere Fälle – zum Teil mit Video- und Ton-Aufnahmen des Geschehens – aus Georgia, New York und Connecticut.

Recherchen von Vice zufolge handeln Kriminelle in einschlägigen Untergrundforen mit Konto-Zugangsdaten für Ring-Geräte. Außerdem gibt es mehrere Angebote für spezielle Software-Tools, die bekannte E-Mail- und Passwort-Kombinationen durchgehen und Angreifern automatisch Zugang zu Ring-Konten verschaffen. Wie heise online mit eigenen Recherchen bestätigen konnte, haben diese Werkzeuge eine ziemliche gute Trefferquote. Lokalisiert man die IP-Adressen anscheinend verwundbarer Ring-Konten, so finden sich eine gute Anzahl Geräte, die anscheinend in Europa im Einsatz sind – darunter sind auch angreifbare Türklingeln und Überwachungskameras in Deutschland.

Ring-Geräte sind natürlich nicht die einzigen Smart-Home- beziehungsweise IoT-Geräte die auf diese Weise gehackt werden. Vor allem Angriffe auf Überwachungskameras sind an der Tagesordnung. Aber das aggressive Marketing der Amazon-Tochter Ring hat für eine rasante Verbreitung von deren Geräten geführt, was deren Kunden nun zu einem beliebten Ziel macht. Ring betreibt unter anderem ein Subventions-Programm, bei dem zum Beispiel Kommunen potentiellen Kunden einen Teil des Kaufpreises des Gerätes erstatten können. So bezuschusst zum Beispiel die Gemeinde Gouda in Südholland den Kauf einer Videoklingel mit bis zu 250 Euro, wenn die Bürger bereit sind, ihre Videos der lokalen Polizei zur Verfügung zu stellen.

Auch in den USA nutzt die Polizei immer öfter Aufzeichnungen oder Live-Feeds von Ring-Videoklingeln oder -Kameras. Und das oft ohne richterlichen Beschluss, da sich viele Ring-Kunden freiwillig dazu bereit erklären, Ring die Nutzungsrechte an den Videos aus ihrem privaten Heim abzutreten. Entsprechende Klauseln verstecken sich in den AGB der Firma, die der Kunde bei der Nutzung der Cloud-Infrastruktur der Geräte abnickt. Zwar ist die Cloud-Nutzung optional und kostet extra, da aber viele der Kunden die Geräte explizit wegen ihrer praktischen Cloud-Funktionen kaufen, werden diese natürlich entsprechend oft aktiviert.

Ein Bericht von Gizmodo macht deutlich, wie viele Daten die Firma über ihre Kunden sammelt und wie verbreitet deren Geräte mittlerweile sind. Allein durch das Sammeln der freiwilligen Posts von Ring-Kunden in der Nachbarschafts-App der Firma und durch eine Analyse des Netzwerkverkehrs der App gelang es den Gizmodo-Journalisten, beängstigend viele Details über Ring-Nutzer in den USA zu Tage zu fördern. Und Polizeibehörden scheinen noch viel mehr Daten von der Firma zu bekommen. In einem CNet-Bericht ist von einer Karte für Polizeibehörden die Rede, in der genau aufgeführt war, wo überall Ring-Videoklingeln installiert sind. Nach Recherchen von Journalisten und der daraus resultierenden Kritik in der Öffentlichkeit wurde diese Karte schließlich eingestampft.

Ring-Kameras sind also schon mit sicheren Passwörtern ein Risiko für die Privatsphäre ihrer Benutzer; von Sicherheitslücken in der Vergangenheit einmal ganz abgesehen. Aber Nutzer, die Login-Daten von anderen Webseiten oder Geräten für ihre Ring-Kamera wiederverwenden, laufen akute Gefahr, dass auch in ihrem Schlafzimmer mitten in der Nacht auf einmal ein Alarm losgeht und ein unbekannter Hacker seine eigene Podcast-Show abzieht. Über die Konsequenzen einer unsicheren Videoklingel, die ihre eigene Position verrät und einen Video-Feed des Eingangsbereichs bereitstellt, will man am besten gar nicht erst nachdenken. Vor allem weil manche dieser Klingeln mit einer Smart-Home-Türöffnungsanlage eines Drittherstellers gekoppelt sind und so potentiellen Einbrechern sogar die Tür öffnen.

Käufer von Ring-Videoklingeln oder -Überwachungskameras sollten ein eigenes, sicheres Passwort für ihr Ring-Konto verwenden. Auf keinen Fall sollte eins der hunderte Millionen von Passwörtern zur Anwendung kommen, welches sich in einem der bekannten Passwort-Leaks befindet. Am besten aktiviert man außerdem die Zwei-Faktor-Anmeldung des Herstellers. Dann hat man wenigstens schon mal die Hacker ausgesperrt. Bei der Polizei scheint das schwieriger zu sein. (fab)