Die Kamera für den Innendienst bietet dank des verbauten CMOS-Sensors mit fünf Megapixeln hochauflösende Überwachungsvideos und verfügt über Nachtsicht mit mechanischem Infrarot-Filter. Als Zugabe spendiert Hersteller Withings dem Gerät zudem Sensoren zur Analyse der Raumluftqualität, die die Konzentration flüchtiger organischer Verbindungen erkennen und per App melden sollen.

Sichere Verschlüsselung

Die Kamera macht so einiges richtig. So kommen für die meisten Verbindungen zum Beispiel TLS 1.2 oder DTLS 1.0 zum Einsatz. Auch die lokalen Verbindungen waren mit DTLS verschlüsselt, allerdings wurde die Verbindung in unserem Test per STUN, also über das Internet aufgebaut. Es lässt sich darüber streiten, ob es eine gute Design-Entscheidung ist, Verbindungen nur per Internet zu ermöglichen, anstatt im gleichen Netzwerk lokal mit dem Produkt kommunizieren zu können. Auch während des lokalen Zugriffes lädt die Kamera regelmäßig Daten zu „prod-ireland-30-days.s3.amazonaws.com“ hoch. Die mit Wireshark und mitmproxy untersuchten TLS-Verbindungen sind gegen einfache Man-in-the-Middle-Versuche ausreichend abgesichert: Während die Kamera im Fall eines Angriffs selbstständig die Verbindung abbricht, stürzt die App einfach nur ab. Darum ließ sich auch im Schnelltest nicht feststellen, welche Informationen die Kamera grob alle 30 Sekunden in die Amazon-Cloud sendet. Die folgende Abbildung zeigt einen Ausschnitt aus Wireshark. Darauf zu sehen sind die Bestätigung der Absicherung mit TLS 1.2 und einer ausreichend sicheren Verschlüsselungsmethode (unten) sowie das Ergebnis eines einfachen Man-in-the-Middle-Angriffs auf den Authentifizierungsprozess (oben). Der Server lehnt das unbekannte Zertifikat ab.

Neben den verschlüsselten Verbindungen konnten allerdings auch unverschlüsselte Verbindungen beobachtet werden. So lädt die Kamera am Anfang unverschlüsselt eine Liste von Zertifikaten herunter. Ob Angreifer diese abfangen, manipulieren und somit verschlüsselte Verbindungen aufbrechen können, wird im Rahmen des Schnelltests nicht untersucht und darum auch nicht negativ gewertet. Unabhängig davon funkt die Kamera ihre MAC-Adresse unverschlüsselt ins Internet und lädt verschiedene Dateien, z.B. einige MP3s, über eine unverschlüsselte HTTP-Verbindung nach. Auch die App selbst zieht Bilder und verschiedene Daten im JSON-Format über unverschlüsselte Verbindungen aus dem Internet. Angriffsvektoren konnten aus diesem Verhalten im Kurztest jedoch nicht abgeleitet werden. Mit installiertem Root-Zertifikat konnten wir, wie bei nahezu allen getesteten Kameras, den verschlüsselten Login-Vorgang abhören. Die folgende Abblidung zeigt das Ergebnis in mitmproxy.

Wie bei den anderen Kameras sehen wir das allerdings auch hier nicht als gravierende Schwäche, da ein Angreifer dies in der Praxis nur schwerlich umsetzen kann. Positiv zu bemerken ist in diesem Zusammenhang allerdings, dass nur der Passwort-Hash übertragen wird und ein etwaiger Angreifer selbst auf diesem Wege nicht an das Klartextpasswort gelangen würde.

Schwachpunkt Firmware?

Es ist zu erwähnen, dass auch das Firmware-Update unverschlüsselt heruntergeladen wird. Erste Blicke in die Datei mit dem Analysetool binwalk lassen vermuten, dass das Update selbst ebenfalls unverschlüsselt vorliegt. Ob die Kamera einen Angriff über ein manipuliertes Firmware-Upload durch Signaturen unterbinden kann, ist nicht Bestandteil des hier durchgeführten Schnelltests und fließt entsprechend nicht in die vorliegende Bewertung ein.

Ein weiterer Wermutstropfen ist das Verhalten der App in Hinblick auf private Aufzeichnungen. Bilder und Filme werden unverschlüsselt auf der SD-Karte gespeichert. Hat der Nutzer die Möglichkeit, an die Daten zu gelangen, haben auch andere – etwa von Angreifern manipulierte – Apps die Möglichkeit, auf diese privaten Aufzeichnungen zuzugreifen.

Am Rande erwähnt: Ein für die IT-Sicherheit nicht relevantes, aber interessantes Detail ist ein von uns im Test gefundener Header-Eintrag, den der Server bei den unverschlüsselten Verbindungen zurücksendet. Dieser hat die Bezeichnung „X-Recruitment“ und den Text „You should work for us! Find jobs at […]“. Eine solche Form der Mitarbeitersuche sieht man dann doch eher selten.

Fazit

Zusammenfassend kann gesagt werden, dass die Kamera eine gute sicherheitstechnische Leistung liefert, auch wenn neben der ungesicherten Speicherung privater Daten auf der SD-Karte auch noch weitere verbesserungswürdige Punkte in Hinblick auf die Sicherheit zu finden sind.