Eigentliche Schwachstelle war die App der smarten Türklingel

Update vom 8.11.

Der Hersteller Ring kontaktierte uns kurz nach Erscheinen des Artikels und bat uns um folgende Ergänzung: "Das Vertrauen unserer Kunden ist uns wichtig und wir nehmen die Sicherheit unserer Geräte sehr ernst. Wir haben bereits ein automatisches Sicherheits-Update veröffentlicht und den Fehler damit behoben."

Ursprünglicher Artikel

Smart Home-Geräte sind komfortabel und beliebt, immer wieder gibt es aber auch Sicherheitslücken. Über einen aktuellen Fall berichtet Bitdefender: Der Sicherheitsspezialist hatte eine Schwachstelle in der Ring Video Doorbell Pro IoT gefunden, einer sogenannten smarten Türklingel der Amazon-Tochter Ring, die Funktionen wie Video und Bewegungsmelder bietet. Die Sicherheitslücke ermöglichte das Auslesen des WLAN-Passwortes des Heimnetzes, der von Bitdefender kontaktierte Hersteller hat sie über ein Update aber mittlerweile geschlossen. Offenbar haben die Sicherheitsforscher die Lücke noch im Sommer gefunden, nach Angaben von Bitdefender hat der Hersteller den Fehler Anfang September 2019 behoben. Wer also Ring Video Doorbell Pro im Einsatz hat, sollte dringend überprüfen, ob die aktuellen Updates bereits installiert sind.

Ein Angriff war auf die folgende Weise möglich: Die Türklingel ist in das Wi-Fi-Netz des Besitzers eingebunden und kann über eine App konfiguriert werden. Ein Angreifer in der Nähe der Türklingel konnte nun durch sogenannte Deauthentifizierungspakete eine Neukonfiguration der Türklingel erzwingen. Der Nutzer wurde dann per App auf eine erneute Konfiguration aufgefordert und gab dabei auch das Kennwort seines Heimnetzes ein. Da diese Informationen aber unverschlüsselt verschickt wurden, hätte ein Dritter diese Daten abfangen können – inklusive des Passwortes in Klartext. Mit Zugriff auf das Heimnetz wäre dann aber die Durchführung Angriffen wie das Abfangen des Netzwerkverkehrs, Zugriff auf Netzvolumes und weitere Aktionen möglich. Eine ausführlichere Beschreibung der Hintergründe hat Bitdefender auf der Webseite veröffentlicht