Ein weiteres Produkt aus dem Bereich der Sicherheitskameras, welches wir im Rahmen unserer IP-Kamera-Schnelltests geprüft haben, ist die Arlo von Netgear. Der Hersteller bewirbt die Kamera, die eine Maximalauflösung von 720 Bildpunkten mit Weitwinkelobjektiv und mit Nachtsicht liefert, wie folgt: „Die weltweit einzige zu 100 % kabellose, wetterfeste HD-Sicherheitskamera, die Sie positionieren können, wo immer sie gebraucht wird.“ Und tatsächlich lieferte dieses Produkt in unserem Schnelltest gute Ergebnisse ab und leistete sich keine gravierenden Schwachstellen.

Sicher verschlüsselte Kommunikation

Der Fernzugriff auf die Kamera ist solide abgesichert und alle Verbindungen zum und vom Gerät stehen standardmäßig unter dem Schutz des TLS 1.2 Protokolls. Auch gegen den Angriff eines möglichen Man-in-the-Middle ist die Kamera abgesichert. Im Test war es uns selbst mit installiertem eigenem Root-Zertifikat auf dem Test-Smartphone und einem Angriff mit mitmproxy nicht möglich, das Kamerabild abzufangen und mitzulesen. Der Login in die App funktionierte allerdings trotzdem, was immerhin bedeutet, dass das Zertifikat-Pinning nicht konsequent für alle Bereiche der Kommunikation umgesetzt wurde und zumindest der Login-Prozess theoretisch angreifbar sein könnte. Die folgende Abbildung zeigt einen Ausschnitt aus mitmproxy: Der Authentifizierungsprozess kann zwar theoretisch mitgelesen werden, praktisch ist dies für einen Angreifer allerdings nicht ohne weiteres realisierbar.

Bei der Analyse der zugehörigen Android-Applikation (getestete Version 2.0.3_12017) fielen uns kleinere Probleme auf. So wird beispielsweise kein konsequenter Gebrauch von Code Obfuscation gemacht und gleichzeitig das Logcat für sehr ausführliche Debug-Ausgaben verwendet, die unter anderem Informationen zu verwendeten URLs, Session Tokens und Funktionsaufrufen liefern. Mit dem Android Device Monitor lässt sich das Logcat für einen Angreifer bequem analysieren. Die folgende Abbildung zeigt einen Ausschnitt aus den von der Applikation erzeugten Logausgaben.

Einem potentiellen Angreifer wird es auf diese Weise sehr einfach gemacht, sicherheitsrelevante Funktionen zu identifizieren und im unverschleierten Quellcode die Funktionsweise selbiger nachzuvollziehen – unserer Meinung nach unnötig und mit geringem Aufwand zu verhindern. Zusätzlich muss auch hier angemerkt werden, dass die Applikation nicht ganz nachvollziehbare Berechtigungen auf dem Smartphone fordert, etwa das Recht Audioaufnahmen durchzuführen, obwohl die Kamera selbst keine Tonaufnahme unterstützt, und dass zur Registrierung und Verwendung der Kamera der Name des Nutzers angegeben werden muss.

Fazit

Insgesamt reichen die aufgelisteten Punkte aber nicht für eine Abwertung der Netgear Arlo und eine Abwertung wäre auch nicht fundiert genug begründet gewesen. Die Sicherheitskamera hinterlässt immer noch einen positiven Gesamteindruck und kann insgesamt in unserer Schnelltestkategorie mit den vollen 3 Sternen bewertet werden.