Alert!

Angreifer könnten Victure-Babyphones ausspionieren – Hersteller reagiert nicht

Angreifer könnten unter anderem das Babyphone PC420 von Victure attackieren und die Kamera fernsteuern. Sicherheitsupdates sind bislang nicht angekündigt.

In Pocket speichern vorlesen Druckansicht 21 Kommentare lesen

(Bild: TimmyTimTim/Shutterstock.com)

Lesezeit: 2 Min.

Sicherheitsforscher von Bitdefender versuchen eigenen Angaben zufolge seit zehn Monaten den Hersteller von IoT-Produkten wie Babyphones und Sicherheitskameras Victure über eine kritische Sicherheitslücke zu informieren. Eine Reaktion steht noch immer aus. Nun haben die Forscher ihre Ergebnisse veröffentlicht.

Wie man einem Beitrag entnehmen kann, ist konkret das Babyphone PC420 betroffen. Auch die Victures Cloud-Plattform IPC360 soll angreifbar sein. Setzen entfernte Angreifer erfolgreich an der Sicherheitslücke (CVE-2021-15744 "kritisch") an, könnten sie im schlimmsten Fall die volle Kontrolle über Geräte erlangen. Auch der Zugriff auf Videos ist den Forschern zufolge denkbar.

Da nicht nur Babyphones von Victure Videodaten in der Cloud speichern, gehen die Sicherheitsforscher von weltweit 4 Millionen betroffenen Geräten aus. Da das Identifizierungsschema für Cloud-Nutzer simpel ist, könnten Angreifer gültige IDs erraten und darüber an weitere Informationen kommen. Damit ausgestattet könnten sie auf Geräte zugreifen und etwa die Verschlüsselung deaktivieren, schreiben die Forscher in einem Bericht.

Lokale Attacken im Netzwerk sollen noch einfacher sein, weil unter anderem bekannte Standard-Log-in-Daten zum Einsatz kommen. So könnten Angreifer mit vergleichsweise wenig Aufwand auf Live-Videostreams zugreifen.

Die Sicherheitsforscher geben an, Victure im November 2020 erstmalig kontaktiert zu haben. Auch nach mehreren Erinnerungen sollen sie bis heute keine Antwort erhalten haben. Dementsprechend gibt es noch keinen Sicherheitspatch und die Geräte bleiben verwundbar.

(des)