Mozilla hat heute eine Sicherheitslücke in Amazons Ring Wireless Video Doorbell veröffentlicht. Die Organisation hatte die Schwachstelle in Amazons Heimüberwachungssystem dem Konzern schon vor 90 Tagen mitgeteilt, dieser hat den Fehler aber laut der Darstellung von Mozilla bis heute nicht behoben, weswegen Mozilla nun an die Öffentlichkeit ging.
Nach einem Penetrationstest der Ring Doorbell, der im Oktober und November 2022 durchgeführt wurde, stellten Mozilla und das beauftragte Security-Unternehmen Cure53 fest, dass das Gerät anfällig für Wi-Fi-Deauthentifizierungsangriffe ist. Diese Schwachstelle kann ausgenutzt werden, um das Gerät mit leicht zugänglichen Tools vom Internet zu trennen.
Angreifer:innen könnten mit dieser Methode die Türklingel offline schalten und ihre Aktivitäten unaufgezeichnet lassen – was den eigentlichen Zweck des Produkts untergrabe, heißt es weiter in der Pressemitteilung von Mozilla. Selbst nachdem die Türklingel wieder mit dem Internet verbunden sei, erhielten die Benutzer:innen keine Benachrichtigung über den Angriff.
Mozilla hatte Amazon Ring nach dem Test auch Möglichkeiten zum Schließen der Sicherheitslücke zugeschickt. Das Unternehmen reagierte laut Darstellung von Mozilla allerdings nicht darauf. Auf eine von netzpolitik.org gestellte Presseanfrage hat Amazon Ring bislang nicht geantwortet. (Update siehe unten)
Ring seit Langem in der Kritik
Erst vor ein paar Tagen hatte Amazon Ring eine Summe von etwa 5,4 Millionen Euro gezahlt um Rechtsstreitigkeiten mit der amerikanischen Federal Trade Commission (FTC) beizulegen. Hintergrund der Zahlung war, dass ein Mitarbeiter von Ring in Dutzenden Fällen Kundinnen des Unternehmens in Schlaf- und Badezimmer beobachtet hatte.
Amazons Ring steht vor allem in den USA seit Langem in der Kritik, denn die Produkte tragen zu einer Ausweitung der insgesamt verfügbaren Überwachungsgeräte bei. Das Unternehmen arbeitet seit Jahren eng mit der Polizei zusammen und ist notorisch freigiebig, wenn Ermittlungsbehörden Aufnahmen aus Ring-Kameras haben wollen. Deswegen stellen die eigentlich privat genutzten Überwachungswerkzeuge, die Kund:innen zur Überwachung ihrer Häuser und Grundstücke installieren, de facto eine Ausweitung staatlicher Überwachung dar.
In den USA hat Ring wiederholt Daten auch ohne richterliche Anordnung an die Polizei herausgegeben. Dies kann auch in Deutschland geschehen, “wenn die Strafverfolgung eine unmittelbare Bedrohung nachweisen kann und die Zeit drängt“. Ob es hier bereits solche Fälle gibt, ist unklar – die PR-Agentur von Ring äußerte sich gegenüber netzpolitik.org ausweichend.
In den USA bietet Ring Strafverfolgungsbehörden eine eigene Schnittstelle an. Mit dieser können die Polizeien ganz direkt per „Notfallknopf“ an Videoaufzeichnungen gelangen. In einer gemeinsamen Marketing-Kampagne hatte die US-Polizei immer wieder explizit für Ring und die zugehörige Neighbors-App des Unternehmens geworben.
„Größter Überwachungsapparat des Landes“
Schon im Jahr 2019 überwachten 440.000 auf Privatgelände installierte Ring-Kameras auch öffentliches Straßenland, recherchierte damals Gizmodo. Im Jahr 2021 arbeiteten schon mehr als 2000 Polizeien und Feuerwehren mit Ring und dessen „Ermittlungsportal“ zusammen. Damals kam heraus, dass sich die Polizei von Los Angeles auch Material von Demonstrationen der Black-Lives-Matter-Bewegung über Ring besorgt hatte. Heute sollen zehn Millionen Menschen allein in den USA eine Ring-Kamera haben.
Die US-amerikanische Bürgerrechtsorganisation EFF bezeichnet Ring als den „größten Überwachungsapparat des Landes“ und fordert eine strengere Regulierung von solchen privaten Überwachungsprodukten. Das schließt unter anderem größere Hürden bei der Anforderung von Videomaterial ein, einen konkreten Verdacht, aber auch einen klareren Hinweis an Ring-Nutzer:innen, dass die Herausgabe von Material an die Behörden absolut freiwillig ist.
In Deutschland befindet sich die Nutzung von Ring-Produkten in der juristischen Grauzone, manche Funktionen seien hierzulande sogar verboten, sagt der IT-Rechtler Jasper Prigge. So sei die Aufnahmefunktion einer Ring-Türkamera, wenn sie Ton umfasst, in Deutschland grundsätzlich nicht erlaubt.
Update 7. Juni 2023:
Die Pressestelle von Amazon Ring hat nun geantwortet. Ein Pressesprecher von Amazon sagt gegenüber netzpolitik.org: „Die Sicherheit unserer Kunden nehmen wir sehr ernst. Wie zahlreiche andere smarte Geräte können auch Ring-Geräte von illegalen, zielgerichteten Störungsversuchen der Wi-Fi-Verbindung betroffen sein. Wir prüfen derzeit, wie wir unsere Kunden über solche Störversuche informieren können.“
@Markus
„Auf eine am“ fehlt da noch das Datum und das Wort >>gestellte<<?
Und hier:
"Schon im Jahr 2019 überwachten 440.000 Ring-Kameras privaten Häusern aus auch öffentliches Straßenland, " evtl. den Satz nochmal umbauen.
Hab etwas umgestellt, damit klarer.