2467025

Amazon Ring versendete unverschlüsselte WiFi-Passwörter der Nutzer

08.11.2019 | 12:20 Uhr | René Resch

Sicherheitsforscher haben nun bekanntgegeben, dass Amazons smarte Ring-Türklingel WiFi-Passwörter der Nutzer unverschlüsselt versendete.

Die Sicherheitsforscher von Bitdefender gaben eine Sicherheitslücke in Verbindung mit Amazons Ring-Türklingel bekannt. Im Einrichtungsprozess der smarten Türklingel von Amazon wurde dabei das heimische WiFi-Passwort offengelegt, das berichtete Techcrunch.

„Bei der Erst-Konfiguration des Geräts versendet die Smartphone-App Anmeldeinformationen für das drahtlose Netzwerk. Dies geschieht auf unsichere Weise, über einen ungeschützten Zugangspunkt“, sagt Bitdefender. „Sobald dieses Netzwerk eingerichtet ist, verbindet sich die App automatisch mit diesem, fragt das Gerät ab und sendet dann die Anmeldeinformationen an das lokale Netzwerk.“

WiFi-Passwörter wurden im Klartext verschickt

Die Passwörter wurden dabei nicht etwa verschlüsselt versendet, sondern im Klartext. Das geschieht, sobald Ring dem lokalen Netzwerk beitritt. Hacker könnten die Daten natürlich abfangen und sich zu Zugang zum Netzwerk verschaffen, Angriffe starten oder gar eine Überwachung durchführen.

Amazon selbst ist der Fehler schon aufgefallen und hat dem System bereits im September dahingehend ein Update spendiert. Die Schwachstelle wurde nun aber erst bekanntgegeben.

In der Zwischenzeit haben wir auch ein Statement eines Sprechers von Ring erhalten: "Das Vertrauen unserer Kunden ist uns wichtig und wir nehmen die Sicherheit unserer Geräte sehr ernst. Wir haben bereits ein automatisches Sicherheits-Update veröffentlicht und den Fehler damit behoben."

Hacker, die vor dem Update Zugriff auf WiFi-Passwörter erhalten hatten, könnten sich natürlich immer noch in unerlaubter Weise im heimischen Netzwerk aufhalten und den Traffic ausspionieren. Ein Angreifer könnte vor Amazons Nachbesserung eine permanent lauschende Software verwendet haben, die automatisiert nach solchen Daten Ausschau hält und dabei auch die unverschlüsselten Ring-Passwörter mitgeschnitten hat.

Nicht die erste Sicherheitslücke

Bereits im Februar 2019 wurde bekannt, dass durch eine Sicherheitslücke der Videostream der Ring Doorbell gekapert und ein anderes Video eingespeist werden konnte. Was Einbrüche ermöglichte. Mehr dazu lesen Sie hier:

Ring Doorbell: Sicherheitslücke lässt Einbrüche zu

PC-WELT Marktplatz

2467025