Die Smart Home Türklingel “Video Doorbell Pro” der Amazon-Marke RING gewährte bis vor kurzem Zugang zum WLAN ihrer Benutzer. Wer ein solches Gerät einsetzt, sollte überprüfen, ob die neueste Firmware installiert ist, mit der das Sicherheitsleck gestopft wurde.
Wie die Sicherheitsforscher der Organisation BitDefender herausfanden, gaben Nutzer während der Konfigurationsphase der Türklingel ihre WLAN-Anmeldeinformationen in die App ein. Sie wurden dann einmalig an die Türklingel übertragen, damit diese künftig über den Umweg der Ring-Cloud-Services mit Geräten im lokalen Netzwerk kommunizieren kann.
Die Schwachstelle bestand laut Bitdefender zum einen darin, dass die initiale Übertragung der Zugangsdaten innerhalb des lokalen Netzwerks im Klartext via HTTP stattfand. Zum anderen hätte ein Angreifer den richtigen Moment zum Mitlesen dieser Daten beliebig oft selbst herbeiführen können: Durch kontinuierliches Senden von Deauthentifizierungspaketen hätte er laut Bitdefender dafür sorgen können, dass die App „die Verbindung zum Gerät verliert und den Benutzer auffordert, das Gerät neu zu konfigurieren.“ Im nächsten Schritt hätte er dann – ohne bereits mit dem WLAN verbunden zu sein – die unverschlüsselt übertragenen Datenpakete mitlesen können.
Photo: Amazon / RING