LookCam-Überwachungskameras: Millionen Nutzer völlig schutzlos

Eine millionenfach heruntergeladene App macht Überwachungskameras zum Sicherheitsalptraum. Die LookCam-Anwendung und die zugehörigen Geräte weisen derart gravierende Sicherheitslücken auf, dass sie praktisch für jeden zugänglich sind. Sicherheitsforscher Wladimir Palant warnt eindringlich: Die Kameras gehören sofort entsorgt.

Über eine Million Downloads allein im Google Play Store sprechen eine deutliche Sprache. Die LookCam-App steuert günstige IP-Kameras, die oft als „Nanny Cams“ oder „Spionagekameras“ vermarktet werden. Getarnt als Rauchmelder, USB-Ladegeräte oder Wecker sollen sie unauffällig überwachen. Doch das Gegenteil ist der Fall: Die Geräte sind für Fremde ein offenes Buch.

Palants Analyse offenbart das Ausmaß der Katastrophe. „Alles, was falsch gemacht werden konnte, wurde hier falsch gemacht“, fasst der Experte zusammen. Die Schwachstellen sind so tief im System verankert, dass keine Software-Updates sie beheben können.

Scheinbare Sicherheit: Wenn Passwörter nicht schützen

Die App gaukt Sicherheit nur vor. Nutzer werden zwar aufgefordert, ein Passwort zu setzen – die Kamera-Firmware ignoriert es jedoch komplett. Jeder kann Befehle senden und auf das Gerät zugreifen, selbst mit einem falschen Passwort.

Die Kommunikation zwischen App und Kamera ist praktisch ungeschützt. Die verwendete Verschlüsselung basiert auf schwachen, selbst entwickelten Algorithmen. Der Schlüssel steckt direkt in der App und umfasst lediglich vier Bytes – ein Kinderspiel für Angreifer.

Noch dramatischer: Die Cloud-Server arbeiten ganz ohne Authentifizierung. Wer die Geräte-ID einer Kamera kennt, kann sämtliche Videoaufzeichnungen einsehen. Diese IDs lassen sich mühelos über WLAN-Verbindungen abfangen oder durch systematisches Ausprobieren ermitteln.

Anzeige: Übrigens: Wer sich vor Datenklau und Schadsoftware auf dem Android?Smartphone schützen möchte, sollte jetzt die wichtigsten Basics prüfen. Viele Android?Nutzer übersehen diese 5 Sicherheitsmaßnahmen – dabei geht es um WhatsApp, Online?Banking, PayPal und sichere Updates. Der kostenlose Ratgeber erklärt alle Schritte leicht verständlich, ganz ohne Zusatz?Apps. Kostenloses Android?Sicherheitspaket anfordern

Chinesische Billig-Hardware ohne Verantwortliche

Die Kameras stammen aus China und lassen sich nicht aktualisieren. Schwerwiegende Sicherheitslücken wie Pufferüberläufe bleiben dauerhaft bestehen. Ein einziger manipulierter Datenbefehl genügt, um die komplette Kontrolle über das Gerät zu erlangen.

Die Hersteller verschleiern systematisch ihre Identität. Keine Kontaktdaten, keine Firmware-Updates, keine nachverfolgbaren Ansprechpartner. Palants Recherchen zeigen: Das Problem betrifft auch andere Apps desselben Entwicklers, darunter tcam, CloudWayCam, VDP, AIBoxcam und IP System.

Die verwendete Software-Entwicklungsumgebung ist offenbar weit verbreitet. Das bedeutet: Unzählige unter verschiedenen Markennamen verkaufte Kameras dürften dieselben gravierenden Schwachstellen aufweisen.

Gefahr für das gesamte Heimnetzwerk

Die kompromittierten Kameras bedrohen nicht nur die Privatsphäre. Angreifer können sie als Einfallstor für weitere Angriffe auf andere Geräte im Heimnetzwerk nutzen. Smart-TVs, Router oder Computer könnten zum Ziel werden.

Palant appelliert eindringlich an die Nutzer: „Verkaufen Sie das Gerät bitte nicht – das schiebt das Problem nur zum nächsten Besitzer.“ Die einzige Lösung sei die komplette Entsorgung.

Anzeige: Passend zum Thema vernetzte Geräte: Auch Ihr Smartphone ist oft Einfallstor Nummer eins. Sichern Sie Ihr Android ohne teure Zusatz?Apps – mit 5 praxiserprobten Maßnahmen inklusive Checklisten. Der Gratis?Leitfaden führt Schritt für Schritt durch die wichtigsten Einstellungen für spürbar mehr Schutz. Jetzt gratis herunterladen

Was besonders alarmiert: Die Schwachstellen sind so fundamental, dass sie das gesamte Internet-der-Dinge-Konzept günstiger Geräte infrage stellen. Hersteller bringen Produkte auf den Markt, ohne grundlegende Sicherheitsstandards zu beachten.

Die Millionen Nutzer stehen vor einem Dilemma. Ihre vermeintlichen Sicherheitskameras entpuppen sich als Einfallstore für Cyberkriminelle. Der Fall zeigt überdeutlich: Bei vernetzten Billiggeräten ist höchste Vorsicht geboten.