GoPro als Spionagekamera Lascher Passwortschutz gefährdet GoPro-Fotografen

GoPro stellt wasserdichte, erschütterungsfeste Kameras her. Jetzt zeigt ein IT-Experte: Was gegen Wind und Wetter geschützt ist, hält einen Amateur-Hacker kaum auf. Angreifer können angeblich mithilfe der Kamera deren Besitzer ausspionieren.
GoPro Hero 4 auf der CES in Las Vegas: Lämpchen aus und heimlich aufzeichnen

GoPro Hero 4 auf der CES in Las Vegas: Lämpchen aus und heimlich aufzeichnen

Foto: David Becker/ Getty Images

Die Sportkameras von GoPro können laut einem britischen IT-Sicherheitsunternehmen von Angreifern ferngesteuert werden. Vor den Kameras der BBC  zeigte ein Mitarbeiter der Firma Pen Test Partners, wie er drahtlos auf eine Hero4-Kamera zugreifen konnte. Obwohl sie augenscheinlich ausgeschaltet war, konnte der Angreifer Bild- und Tonsignale abfangen.

Grund dafür ist laut dem Bericht eine mangelhafte Sicherung der drahtlosen Datenübertragung der Kamera, wie sie etwa im Verbund mit einem Handy oder Tablet benutzt wird. Der Passwortschutz sei so schlecht, sagt der Experte, dass er innerhalb von Sekunden von einer spezialisierten Software, die mögliche Kombinationen durchprobiert, ausgehebelt werden könne.

Das Design der Kamera sei außerdem problematisch, da eine drahtlose Datenverbindung auch dann aktiv bleiben könnte, wenn das Gerät ausgeschaltet wurde. Solange die Kameras Daten sendet und empfängt, könnte sich ein Hacker mit geringem Aufwand die Kontrolle über sie verschaffen: die Kamera einschalten, ihr "Aufnahme"-Lämpchen deaktivieren und dann unbemerkt die Videodaten abgreifen.

Die Sicherheit des Passworts sei Kundenentscheidung

Der Hersteller GoPro wehrt sich gegen die Vorwürfe: "Wir setzen als Sicherheitsprotokoll den Industriestandard WPA2-PSK (pre-shared key) ein", heißt es in einer Stellungnahme bei der BBC . "Wir verlangen von unseren Kunden, dass sie ein 8 bis 16 Zeichen langes Passwort erstellen; es ist ihre Entscheidung, wie komplex sie es haben wollen."

Wie bei "allen anderen passwortgeschützten Geräten und Diensten" ist ein Nutzer anfälliger für solche Angriffe, wenn er ein Passwort wähle, das leicht zu erraten sei.

Ein gutes Argument - aber es verdeckt, dass ein einfacher WLAN-Schutz mit Passwort nicht sicher genug ist. Crack-Angriffe auf WPA2-gesicherte WLAN-Netzwerke sind schon länger bekannt, Anleitungen zum Datenklau gibt es in leicht verständlicher Form als Online- und Videokurs. Den Kunden ist also nicht allein die Schuld in die Schuhe zu schieben, weil manche womöglich zu schlichte Passwörter wählen.

Zumal das nicht das erste Sicherheitsproblem des Unternehmens war: Bereits im März dieses Jahres wurde bekannt, dass sich die WLAN-Passwörter von GoPro-Geräten direkt aus der Website des Unternehmens  auslesen ließen. Nach Bekanntwerden des Tricks stopfte GoPro aber diese Sicherheitslücke.

kno