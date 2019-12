Nach vermehrten, und zum Teil ziemlich verstörenden, Hacker-Angriffen auf Sicherheitskameras der Amazon-Tochter Ring in den USA kursieren nun anscheinend Listen mit Nutzerkonten und dazugehörigen Passwörtern für Ring-Geräte im Netz. US-Medienberichten zufolge sollen mehrere tausend Accounts betroffen sein. Ring hatte bisher stets versichert, dass es sich bei den Angriffen um Einzelfälle handele und die Anzahl der betroffenen Konten heruntergespielt. Man habe keine Hinweise auf eine Gefährdung eigener Netze, teilte ein Sprecher der Firma gegenüber heise online mit.

Tausende Accounts geleakt

BuzzFeed und TechCrunch berichten hingegen von zwei Listen mit mehreren tausenden Passwörtern, die neben den Login-Informationen auch die Zeitzone des Gerätes und Hinweise auf dessen Installations-Ort enthalten sollen. Bei BuzzFeed ist von 3672 Passwörtern die Rede, TechCrunch will 1562 Ring-Zugangsdaten besitzen. Momentan ist nicht ganz klar, inwiefern sich diese Listen eventuell überschneiden. Die relativ geringe Anzahl an Passwörtern spricht dagegen, dass die Listen direkt aus einem Leak bei Ring stammen.

Wahrscheinlicher ist, dass Unbekannte im Netz E-Mail-Adressen und dazugehörige Passwörter aus einschlägigen Passwort-Leaks kopiert haben und mit Hilfe von Software damit Login-Versuche über die Ring-Server ausführen. Gelingt das, weil der Nutzer das bei einer anderen Webseite oder Dienst kompromittierte Passwort wiederverwendet hat, wissen sie, dass man damit das entsprechende Ring-Konto knacken kann. Diese Technik nennen Sicherheitsexperten auch Credential Stuffing. Auf diese Weise haben die Unbekannten wahrscheinlich auch die weiteren Informationen zu den Geräten automatisch ausgelesen.

Automatische Angriffe auf Ring

Tests von heise online belegen, dass es relativ einfach ist, spezialisierte Software-Tools im Netz aufzutreiben, die solche Angriffe auf die Ring-Infrastruktur automatisieren. In Zusammenhang mit einschlägigen Passwort-Listen können geneigte Angreifer sich so sehr schnell valide Zugangsdaten zu zufälligen Ring-Kameras verschaffen. Ring scheint die APIs seiner Server nicht oder nur begrenzt gegen solche massenhaften Anfragen zu schützen. Außerdem berichten uns Ring-Nutzer, dass ein solches Eindringen von Unbefugten nur sehr schwer festzustellen ist, wenn der Angreifer nicht gerade Alarm-Sirenen aktiviert oder anfängt, mit den betroffenen Ring-Kunden über die Kameras zu sprechen.

Ring informiert seine Kunden unseren Erkenntnissen nach nicht, wenn auf einmal ein Endgerät mit einer IP von der anderen Seite der Welt auf dem Web-Interface einer Kamera anmeldet – jedenfalls nicht automatisiert. Es ist also denkbar, dass ein Angreifer einen Ring-Nutzer auf diese weise wochen- oder gar monatelang ausspioniert, ohne dass das Opfer etwas bemerkt. Ring geht nach eigener Aussage rigoros gegen unbefugte Zugriffe auf die Konten seiner Kunden vor. "Ring ist das Vertrauen der Nutzer sehr wichtig und wir fühlen uns dem Schutz ihrer Privatsphäre verpflichtet", teilte die Firma gegenüber heise online mit. Man habe betroffene Nutzer per E-Mail informiert.

Allerdings scheinen die Ring-Server nur schlecht gegenüber automatischen Login-Versuchen abgesichert zu sein, die Apps der Firma warnen Kunden nicht vor offensichtlich verdächtigen Login-Versuchen und der Nutzer hat in den Einstellungen seines Kontos keine Möglichkeit, vergangene Login-Versuche nachzuvollziehen. Außerdem überprüft die Firma bei der Änderung des Nutzerpassworts nicht, ob dies in bekannten Passwort-Lecks vorkommt – wie es etwa mit dem Dienst Pwned Passwords möglich wäre.

Ring empfiehlt Zwei-Faktor-Anmeldung

Besitzer von Ring-Geräten sollten unbedingt den Empfehlungen des Herstellers folgen und die Zwei-Faktor-Authentifizierung für ihre Konten aktivieren. Des weiteren empfiehlt Ring, sichere Passwörter zu verwenden und keine Login-Daten, die bereits für andere Webseiten oder Online-Dienste verwendet wurden für die Ring-Anmeldung wiederzuverwenden. Außerdem sollte man sein Passwort nicht mit anderen Mitgliedern des eigenen Haushaltes teilen, sondern für jeden Nutzer ein eigenes Konto mit einem eigenen – sicheren – Passwort anlegen. Diese Maßnahmen sollten garantieren, dass es Fremden nicht möglich ist, mit Hilfe von geleakten Passwörtern Zugang zu den Sicherheitskameras und Video-Türklingeln der Firma zu erhalten.

Fragen von heise online dazu, wie Ring in Zukunft technisch sicherstellen will, dass keine weiteren massenhafte Einbrüche in Ring-Konten mit Hilfe von geleakten Passwort-Listen stattfinden, hat die Firma bisher nicht beantwortet. Man verwies auf die anstehenden Feiertage und erbat sich etwas Geduld. Wir werden weiter über das Thema Sicherheit bei Ring und vergleichbaren Smart-Home-Geräten berichten und nehmen dazu gerne Hinweise betroffener Leser entgegen. (Fabian A. Scherschel) / (fab)