Pearl ist ein deutsches Versandhaus für Elektronik und Zubehör, zum Angebot gehören mittlerweile auch Smart Home-Produkte. Viele Artikel aus dem Sortiment werden aus Asien importiert und unter anderen Markennamen verkauft; in diesem Fall lautet der Name „7links“. Gebaut wird die Original-Kamera von Tenvis, einem chinesischen Hersteller von IP-Kameras. Von Pearl erhielten wir die vor kurzem in den Handel gebrachte spritzwassergeschützte 720p 7links IP-Kamera IPC-720.HD zum Test. Ob kostengünstige Kameras nicht nur in Hinblick auf die Überwachung, sondern auch hinsichtlich IT-Sicherheit und Datenschutz gute Arbeit leisten, möchten wir in unserem Schnelltest herausfinden.

Ersteinrichtung

Bei der Erstinstallation muss der Nutzer das Standardpasswort („admin“) durch ein komplexeres Passwort ersetzen, welches mindestens 6 Zeichen und zwei Kombinationen aus Groß- und Kleinbuchstaben, Zahlen oder Sonderzeichen enthält. Daraufhin wird automatisch der Internetzugang aktiviert; eine Deaktivierung des Zugangs per App oder über das Webinterface der Kamera ist nicht möglich.

Lokale und Online-Kommunikation

Der Authentifizierungsprozess zwischen der iMega Cam App (von Tenvis bereitgestellt) und der Kamera läuft unverschlüsselt ab, das Gleiche gilt für die weitere lokale und Online-Kommunikation. Am Anfang des Authentifizierungsprozesses werden Teile der Seriennummer der Kamera ausgetauscht, erst danach werden Nutzername und Password base64-verschlüsselt übertragen. Unverschlüsselte Verbindungen werden von App und Kamera zu einigen Cloud-Diensten wie z.B. Tencent Bugly aufgebaut, allerdings mit einem verschlüsselten Payload.

Lokale Authentifizierung
Lokale Authentifizierung
Online-Authentifizierung
Online-Authentifizierung

Firmware

Die Prüfung auf neue Updates durch die Kamera findet über http://update.wificam.org/iMegaCam/goke_update.html statt. Diese Verbindung ist ebenso unverschlüsselt wie auch die über HTTP heruntergeladenen Updates. Aufgrund der Tatsache, dass die Kamera nur auf die Version V9.1.4.1.25 aktualisiert (vorher 9.1.4.1.22), gehen wir davon aus, dass bei den unterschiedlichen Kameramodellen auch Unterschiede bei den Firmware-Versionen bestehen könnten.

Liste der verfügbaren Updates
Liste der verfügbaren Updates

Applikation

Wir haben die entsprechende iMega Cam App aus dem Google Play Store heruntergeladen, welche mit 5 kB Größe sehr klein und auch teilweise obfuskiert ist. Wie bereits erwähnt, kommunizieren App und Kamera über unverschlüsselte UDP-Verbindungen, und zwar bei der lokalen und Online-Kommunikation als auch während des Authentifizierungsprozesses. Zugangsdaten werden als Klartext im privaten App-Speicher in einer SQLite3 Datenbank abgelegt. In früheren Blog-Beiträgen wurde bereits darauf hingewiesen, dass diese Art der Speicherung als sicher einzustufen ist, bis das Smartphone (absichtlich oder durch Malware) gerootet wird.

In der SQLite-Datenbank gespeicherte Zugangsdaten
In der SQLite-Datenbank gespeicherte Zugangsdaten

Bei der statischen Analyse wurden mehrere mögliche Sicherheitslücken identifiziert, beispielsweise die „RESTART_PACKAGES” Berechtigung, mit der die App andere Apps und deren Hintergrunddienste schließen kann (hauptsächlich von „Task Managern“ und „Cleaner-Apps“ genutzt). Diese Funktion hat jedoch keine größere Bedeutung bei den aktuellen Android-Versionen, in denen Apps und Dienste automatisch neu gestartet werden.

Sicherheitsmängel konnten wir auch bei einigen Funktionen nachweisen, die implizite Intents an Stellen einsetzten, an denen dies nicht notwendig sein sollte. Ein Intent ist eine abstrakte Beschreibung einer Operation, die ausgeführt werden soll. Intents werden als Broadcast-Nachrichten an alle installierten Apps gesendet und solche, die in der Lage sind die angefragte Aktion auszuführen, können dann gestartet werden: beispielsweise kann mit der standardmäßigen Kamera-App ein Foto gemacht werden. Explizite Intents legen die zu startende Komponente durch exakte Angabe des Klassennamens fest, während implizite Intents keine bestimmte Komponente festlegen, sondern genug Informationen für das System bereitstellen müssen, damit dieses wiederum bestimmen kann, welche der verfügbaren Komponenten zur Ausführung der jeweiligen Funktion am besten geeignet ist. Malware ist ebenfalls in der Lage, implizite Intents zu erfassen, auf sie zu reagieren oder sie weiterzuleiten und folglich bösartige Komponenten zu aktivieren.

Datenschutz

Zur Kommunikation mit der Kamera muss kein Registrierungsvorgang durchlaufen werden. Sobald sie mit der App gekoppelt ist, besteht lokaler und Online-Zugriff. Die Datenschutzerklärung der App ist sehr generisch gehalten und ersetzt gerade einmal den Unternehmensnamen durch „wir“; das gleiche Vorgehen wurde bereits in unserem Panasonic Smart Home Test aufgezeigt. Die Nutzung einiger Drittanbieter-Dienste (Amazon EC2, Tencent Bugly etc.) durch App und Kamera wird zwar erwähnt, auf Umfang und Zweck der Nutzung jedoch nicht genauer eingegangen.

  • Kamera (Speicherung von Screenshots)
  • Kontakte (Zweck unklar)
  • Mikrofon (Push-to-Talk-Funktion bei einigen Kameras)
  • Telefon (Zweck unklar)
  • Speicher (Speicherung von Screenshots)
  • Viele weitere (teilweise Zweck unklar)

App-Berechtigungen
App-Berechtigungen

Fazit

Zieht man die Jahreszahl 2017 in Betracht und führt man sich insbesondere auch die Malware-Angriffe auf IoT-Geräte durch Schädlinge wie Mirai oder BrickerBot noch einmal deutlich vor Augen, würden wir den Einsatz von verschlüsselter Kommunikation zumindest beim Online-Traffic und soweit möglich auch beim lokalen Verkehr mittlerweile als selbstverständlich voraussetzen. Ebenso sollte unverschlüsselte Authentifizierung der Welt von gestern angehören. Beim Datenschutz gibt es einige Bedenken, daher lautet unsere Empfehlung, das Gerät ohne Internetverbindung zu nutzen (z. B. indem Sie den Internetzugang des Geräts über Ihren Router deaktivieren oder das Standard-Gateway in den Kamera-Einstellungen entfernen) und nur eine Ausnahme davon zu machen, um manuell auf Firmware-Updates zu prüfen.

Aufgrund der unzureichenden Sicherheit erhält die vom chinesischen Hersteller Tenvis produzierte und über Pearl vertriebene  IP-Kamera IPC-720.HD im Ergebnis unseres Schnelltests keinen der drei möglichen Sterne.