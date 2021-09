Sicherheitsforscher von Bitdefender versuchen eigenen Angaben zufolge seit zehn Monaten den Hersteller von IoT-Produkten wie Babyphones und Sicherheitskameras Victure über eine kritische Sicherheitslücke zu informieren. Eine Reaktion steht noch immer aus. Nun haben die Forscher ihre Ergebnisse veröffentlicht.

Wie man einem Beitrag entnehmen kann, ist konkret das Babyphone PC420 betroffen. Auch die Victures Cloud-Plattform IPC360 soll angreifbar sein. Setzen entfernte Angreifer erfolgreich an der Sicherheitslücke (CVE-2021-15744 "kritisch") an, könnten sie im schlimmsten Fall die volle Kontrolle über Geräte erlangen. Auch der Zugriff auf Videos ist den Forschern zufolge denkbar.

Da nicht nur Babyphones von Victure Videodaten in der Cloud speichern, gehen die Sicherheitsforscher von weltweit 4 Millionen betroffenen Geräten aus. Da das Identifizierungsschema für Cloud-Nutzer simpel ist, könnten Angreifer gültige IDs erraten und darüber an weitere Informationen kommen. Damit ausgestattet könnten sie auf Geräte zugreifen und etwa die Verschlüsselung deaktivieren, schreiben die Forscher in einem Bericht.

Lokale Attacken im Netzwerk sollen noch einfacher sein, weil unter anderem bekannte Standard-Log-in-Daten zum Einsatz kommen. So könnten Angreifer mit vergleichsweise wenig Aufwand auf Live-Videostreams zugreifen.

Hersteller entzieht sich der Verantwortung

Die Sicherheitsforscher geben an, Victure im November 2020 erstmalig kontaktiert zu haben. Auch nach mehreren Erinnerungen sollen sie bis heute keine Antwort erhalten haben. Dementsprechend gibt es noch keinen Sicherheitspatch und die Geräte bleiben verwundbar.

(des)