Mit maximal 3000 Lumen Lichtleistung leuchtet die Arlo Pro 3 Flutlicht-Kamera heller als so manches Auto – so wird es zumindest auf der Arlo Website beworben. Wir haben uns die Akku-Kamera aus sicherheitstechnischer Sicht einmal näher angesehen und sie auf Herz und Nieren getestet.
In der dunklen Jahreszeit gibt es viele Gründe, warum Hausbesitzer beispielsweise eine Überwachungskamera in ihrem Garten aufstellen. Eine Kamera wie die Arlo Pro 3 Floodlight bietet sich hier an und beleuchtet den Garten bei Erkennung einer Bewegung oder bei Bedarf taghell.
Technische Daten
Mit einem 13.000mAh Akku und 650 Gramm ist die Überwachungskamera nicht unbedingt ein Leichtgewicht, soll laut Hersteller dafür aber bis zu 6 Monate ohne Aufladung auskommen. Die 4 Megapixel Kamera nimmt in 2K-Auflösung (2560×1440) auf und verfügt über einen 160° Weitwinkel und HDR. Neben dem Flutlicht (2000lm mit Akku, 3000lm bei angeschlossenem, optionalen Kabel) sind auch Infrarot-LEDs verbaut, sodass Nachtsicht auch ohne aktiviertes Flutlicht möglich ist. Stroboskoplicht und eine Sirene stehen im Fall eines Alarms zur Verfügung.
Applikation
Die Arlo App (Android, iOS) wurde von uns einer statischen und dynamischen Analyse unterzogen. Sie verfügt über viele Drittanbietermodule, weiterhin konnten vier Tracker (Google Admob, CrashLytics, Firebase Analytics, Swrve) identifiziert werden. Die statische Analyse der Applikation hat nur in den genutzten Shared Objects (.so Dateien) kleinere Lücken gefunden, die Arlo beheben sollte. Die Speicherung aller sicherheitsrelevanten Informationen erfolgt verschlüsselt im geschützten Bereich der App. Weiterhin ist Certificate Pinning für wichtige Verbindungen aktiv, sodass ein Man-in-the-Middle Angriff nicht von Erfolg gekrönt war.
Dank Arlo blieb auch ein nächtlicher Gast im Homeoffice nicht unbeobachtet:
Online-Kommunikation
Die Kommunikation der App war zu jeder Zeit effektiv verschlüsselt. Gleiches gilt auch für die Arlo Pro 3 Floodlight Camera. Von der initialen Verbindung bis zum letztendlichen Stream des Kamerabildes, alles wird verschlüsselt übertragen. Auch beim Scan des Gerätes selbst konnten keine nennenswerten Schwachstellen ausfindig gemacht werden.
Vorbildlich ist weiterhin die standardmäßige Aktivierung von 2-Faktor-Authentifizierung über Push-Benachrichtigung in der App oder per SMS.
Datenschutz
Laut der Datenschutzerklärung von Arlo (Stand Juli 2018) werden sämtliche aufgezeichneten Daten weltweit gespeichert und verarbeitet, einschließlich der Verarbeitung von Videodaten, z.B. für Personen- oder Paketerkennung. Eine Speicherung und Verarbeitung auf dem Kontinent des Benutzers wäre hier wünschenswert. Videos werden nur für den expliziten Verarbeitungszweck genutzt, der Benutzer kann diese optional einzeln für Forschungszwecke an Arlo spenden.
Die in die App integrierten Tracker werden nicht explizit benannt, daher sollte die Datenschutzerklärung in diesem Punkt erweitert werden. Weiterhin wurde von uns Datenverkehr zu CloudFlare aufgezeichnet. Dieser Dienstleister sollte ebenfalls mit benannt werden.
Fazit
Mit der Arlo Pro 3 Floodlight Camera zeigt der Hersteller wieder einmal, dass IT-Sicherheit in der Produktentwicklung keine untergeordnete Rolle gespielt hat, sondern im Fokus stand. Sichere Datenübertragung und -speicherung steht hier klar im Vordergrund. Im Bereich Datenschutz sollte Arlo die Transparenz weiter ausbauen, geht aber auch hier bereits einen guten Weg.
Previous article 
