Als Reaktion auf unseren Schnelltest der Smartfrog Überwachungskamera wurden wir vom Hersteller in dem Bemühen kontaktiert, Lösungen zur Behebung der von uns identifizierten Schwachstellen zu erarbeiten. Sowohl das Produkt als auch die Applikation sind nun überarbeitet worden, und wir haben dies zum Anlass genommen, einen erneuten prüfenden Blick auf die Kamera zu werfen. Wir erklären auch, warum die Smartfrog nun den Status eines Geräts mit „Zertifizierter Sicherheit“ verdient. Alle sicherheitskritischen Punkte sind behoben worden, und somit ist das Technologieunternehmen Smartfrog auch der erste Hersteller, der in den Genuss einer AV-TEST Zertifizierung für IP-Kameras kommt.
Die gravierendsten Probleme, die wir gefunden hatten, standen alle in Verbindung mit der unzulänglichen Verwendung des HTTPS-Protokolls, insbesondere die Möglichkeit, dass ungehindert Man-in-the-Middle-Angriffe auf Nutzer-Login, Passwortänderungen und Registrierungsvorgänge erfolgen konnten. Das verwendete Server-Zertifikat wurde nicht überprüft und dadurch war es mit einem beliebigen Zertifikat möglich, eine verschlüsselte Kommunikation mit der App aufzubauen. Dies bedeutete, dass potentielle Angreifer sich zwischen Client und Server platzieren konnten, um Inhalte zu lesen und/oder zu manipulieren, ohne dass die Kommunikationspartner etwas davon mitbekommen.
Smartfrogs Ziel bestand darin, mit der neuen App-Version (Pre-release, > 2.5.3) dieses Problem in den Griff zu bekommen, und unser aktueller Test zeigt, dass es dem Hersteller auch gelungen ist. Die folgende Abbildung enthält einen Ausschnitt aus Wireshark, darin ist klar zu erkennen, dass durch Angreifer kompromittierte Verbindungen nun durch die App abgewiesen werden, und folglich das Belauschen sensibler Daten nicht mehr möglich ist.
Aufgrund der Tatsache, dass die nötigen Änderungen auch bei der IP-Kamera selbst vorgenommen wurden, kann davon ausgegangen werden, dass alle Verbindungen nun ausreichend geschützt sind. Darüber hinaus wurden in unserem IoT-Labor auch alle weiteren Abschnitte aus dem ersten Test geprüft um sicherzugehen, dass nicht noch neue Sicherheitsbedenken ans Tageslicht kommen. Erkennen konnten wir keine ernsthaften Schwachstellen. Allerdings ist die App auch weiterhin nicht verschleiert, und obwohl es sich dabei per se nicht um ein Sicherheitsproblem handelt, haben Angreifer beim Fehlen einer Obfuscation doch ein leichteres Spiel.
Im Ergebnis können die Android-App von Smartfrog und die IP-Kamera selbst nun als ausreichend geschützt eingestuft werden und verdienen mit drei Sternen die Maximalwertung.
Und nicht zu vergessen: Bei der Kamera von Smartfrog handelt es sich um die erste IP-Kamera, die als sicheres Smart Home-Gerät von AV-TEST zertifiziert wurde.