Krasse Sicherheitslücke: Amazons Türklingel sendet heimisches WLAN-Kennwort im Klartext

Update:

Amazon hat sich als Reaktion auf diese News über eine PR-Agentur zu Wort gemeldet. Zur Richtigstellung hier die zwei offiziellen Statements dazu:

1. Das Vertrauen unserer Kunden ist uns wichtig und wir nehmen die Sicherheit unserer Geräte sehr ernst. Wir haben bereits ein automatisches Sicherheits-Update veröffentlicht und den Fehler damit behoben.

2. US Polizeibehörden können ausschließlich Videos und Ortsangaben sehen, die Nutzer selbst veröffentlicht haben. Sie haben weder Zugriff auf die Geräte der Nutzer, deren Videodaten noch andere Daten. Die Polizeibehörden in den USA können im Falle einer Ermittlung eine Anfrage über ein spezielles Portal erstellen, um Videomaterial von Nutzern in einem bestimmten Gebiet zu erbitten. Hierbei kennt die Polizei weder die exakten Standorte der Kameras noch deren Besitzer. Ring leitet diese Anfrage an die entsprechenden Nutzer weiter. Ohne die Zustimmung der Nutzer werden weder Videomaterial noch Informationen an die Polizeibehörden übermittelt. Die Nutzer können die Herausgabe verweigern und alle zukünftigen Anfragen ablehnen.

Originalmeldung:

Die elektrische Videotürklingel Amazon Ring (ab 99 Euro bei Amazon) verbindet sich mit dem heimischen WLAN-Netz. Zum Sicherheitsproblem wird dabei insbesondere die Ersteinrichtung. Dabei muss sich die Smartphone-App zunächst mit der Türklingel verbinden, wofür ein eigenes WLAN-Netz aufgebaut wird.

Weil Amazon anscheinend der Meinung ist, dass nun ausgerechnet bei der Ersteinrichtung kein Lauscher die Verbindung abhorcht, überträgt die App dabei auch die Zugangsdaten des heimischen Netzwerkes an die Klingel – leider komplett im Klartext und daher ungesichert.

Wenn Hacker jedoch, wie üblich, ihr „Opfer“ eher konstant ausspionieren, ist es für sie so ein Leichtes das heimische WLAN-Passwort abzufangen. Amazon hat dieses Problem erst gestern aus der Welt geschafft.

Dies zeigt einmal mehr in welch hohem Maße Smart Home Devices noch immer von teils krassen Sicherheitslücken betroffen sind. Je digitaler und so vermeintlich sicherer das eigene Zuhause derzeit abgesichert ist, desto mehr Angriffspunkte und potentielle Zugangspunkte bietet es gleichzeitig an.

Amazon Ring steht zusätzlich im Verdacht Überwachungsmaterial mit der Polizei zu teilen und mit den Amazon-Türklingeln einer Stadt ein Überwachungsnetzwerk aufzubauen. Scheinbar sind bereits viele Städte in den USA eine Partnerschaft mit Amazon eingegangen, um die Videoaufnahmen der Türklingeln für die örtlichen Polizeibehörden nutzbar zu machen – wohlgemerkt ohne die Einwilligung ihrer Eigentümer und ohne richterlichen Beschluss.