Als Teil unseres IP-Kamera-Tests haben wir uns einer Kamera angenommen, die den Anspruch auf Sicherheit und hohes Schutzniveau direkt im Namen trägt: die Security Camera von Myfox. Im Schnelltest haben wir diesen Anspruch überprüft und konnten feststellen, dass die Sicherheitskamera tatsächlich für den ausgeschriebenen Einsatzzweck geeignet ist, ohne sich kritische Schwachstellen zu leisten.

Gut geschützte Kommunikation

Im Bereich der Online-Kommunikation bietet die Kamera ein gutes Schutzniveau: Alle mit Wireshark beobachteten Verbindungen waren verschlüsselt und der Fernzugriff auf die Kamera somit abgesichert. Bei der Betrachtung des Kamera-Streams fiel allerdings auf, dass die Übertragung des Kamerabildes lediglich mit dem älteren Standard TLS 1.0 abgesichert ist, wohingegen Nutzer-Authentifizierung und der Rest der Kommunikation mit dem aktuelleren TLS 1.2 geschützt werden.  Die Verwendung des älteren Protokolls ist zum jetzigen Zeitpunkt nicht unbedingt als Schwachstelle zu werten, trotzdem hinterlässt dieser Punkt einen Eindruck von Inkonsistenz.

Im Falle eines Man-in-the-Middle-Angriffs scheint der Fernzugriff auf die Kamera ebenfalls solide abgesichert zu sein. Zwar war es uns möglich, die App auf dem Test-Smartphone mit installiertem Root-Zertifikat zu starten und uns als Nutzer zu authentifizieren, das Kamerabild konnten wir auf diesem Wege aber nicht mitlesen. Die folgende Abbildung zeigt einen Ausschnitt aus dem zur Analyse verwendeten Tool mitmproxy: Die Authentifizierung konnte zwar mitgelesen werden, allerdings nur nach der Installation eines eigenen Root-Zertifikats auf dem Benutzertelefon. Dies wäre unter realen Bedingungen für einen Angreifer nicht ohne weiteres möglich.

Die zur Kamera zugehörige Android-Applikation (getestete Version 1.3.0) wurde von uns untersucht, und auch hier kamen keine kritischen Schwachstellen zum Vorschein. Einzig die fehlende Verwendung von Code Obfuscation erscheint als unnötiges Risiko, was der Hersteller aber mit geringem Aufwand nachbessern könnte und auch sollte. Da die App kostenfrei im Google Play Store verfügbar ist, kann ein potentieller Angreifer auf diesem Wege leicht an den unverschleierten Quellcode der Applikation gelangen und Zugriff auf potentiell kritische Informationen zu vorhandenen Sicherheitsmechanismen erlangen.

Unnötige Datenabfragen

Was uns zusätzlich negativ auffällt ist der Sachverhalt, dass zur Registrierung und Benutzung der Kamera ein gültiger Name und eine Adresse angegeben werden müssen und die App einige fragwürdige Berechtigungen zur Lokalisierung, Audioaufnahme und zum Netzwerkstatus auf dem Nutzertelefon verlangt. Beide Punkte erscheinen uns unnötig und sind zum eigentlichen Betrieb des Gerätes de facto nicht notwendig. Die folgende Abbildung zeigt einen Ausschnitt aus dem Android Manifest der Applikation. Nicht für alle geforderten Permissions ist die Notwendigkeit unmittelbar klar.

In Hinblick auf die Privatsphäre hält die Kamera noch ein nettes Gimmick in Form einer physischen Blende bereit, die sich bei Inaktivität der Kamera vor die Linse schiebt und somit klar zu erkennen gibt, dass gerade keine Bilder übertragen werden können. Wirklichen Schutz gegen einen echten Angreifer bietet dieses Feature allerdings nicht, da die Kamera – einmal aktiviert – die Blende automatisch öffnet, egal, ob die Aktivierung von einem legitimen Nutzer oder einem möglichen Angreifer ausgeht, der die Kamera übernommen hat. Zumindest sieht der Nutzer im zweiten Fall auf einen Blick, ob er gerade beobachtet wird.

Fazit

Insgesamt hinterlässt die Myfox Security Camera in unserem Schnelltest einen positiven Eindruck, auch wenn hier und da einige Fälle von Inkonsistenz und kleinere Schwachstellen auszumachen sind. Als Gesamturteil erhält sie dessen ungeachtet eine 3-Sterne-Wertung in unserer Schnelltestkategorie.