Webcam und Smartphone-Kamera hacken

"Ich habe deine Kamera gehackt und dich bei sexuellen Handlungen gefilmt." Mit solchen Sätzen werden seit Monaten E-Mails verschickt. Die Empfänger sollen in der Regel Bitcoins überweisen, damit die Aufnahmen nicht an Freunde und Familienmitglieder geschickt werden.

Meistens kennen die Absender der E-Mails die Empfänger gar nicht und behaupten nur, Aufnahmen zu haben. Aber wie realistisch ist es eigentlich, Bilder und Videos von einer fremden Kamera zu bekommen, ohne dass die Betroffenen es merken?

Leider besteht die Möglichkeit wirklich. Im November 2019 haben gleich drei Meldungen konkrete Gefahren gezeigt. Wir beschreiben sie und listen am Ende des Artikels auf, wie ihr euch schützen könnt.

Trojaner "PsiXBot"

Es ist ein schädliches Programm, das sich auf Windows-Rechnern einnistet. Im September 2019 soll "PsiXBot" um ein neues "PornModule" erweitert worden sein, berichtete damals die IT-Sicherheitsfirma proofpoint. Die Erweiterung enthalte ein Wörterbuch mit pornografischen Begriffen und checke geöffnete Fenster nach den Wörtern ab. Finde es welche, zum Beispiel wenn eine Pornoseite aufgerufen wird, starte der Trojaner die Webcam (falls vorhanden) und nehme eine AVI-Datei auf und sende sie zum Speichern an einen Server, beschrieb die Sicherheitsfirma das Vorgehen. Das alles geschehe natürlich im Hintergrund, ohne besonderen Hinweis an die Person vor dem Bildschirm.

Sicherheitslücke in Android-Kamera-App

Wenn man bei Android eine App installiert, kann man ihr bestimmte Zugriffsrechte geben oder verweigern – zumindest seit Android 6 (Marshmallow). Eigentlich sollten die Einstellungen sicher sein. Hat also zum Beispiel eine Wetter-App kein Recht, auf die Kamera zuzugreifen, kann sie das auch nicht. Eigentlich. Denn die Sicherheitsfirma Checkmarx hat eine Lücke in der Kamera-App von Android entdeckt. Die gute Nachricht: Seit einem Update im Juli 2019 soll sie laut Android-Hersteller Google bereits geschlossen sein.

Die manipulierte Wetter-App von Checkmarx konnte auch ohne Berechtigung Bilder, Videos und Audio aufnehmen. Sie nutzte nämlich eine Sicherheitslücke in der Kamera-App und zwang sie, unbemerkt Aufnahmen zu machen. Mit dem Recht, auf den Speicher zuzugreifen, konnte die App dann die Dateien im Hintergrund verschicken.

Facebook-App

Auch Facebook machte 2019 erneut Schlagzeilen. Wer ein iPhone mit dem Betriebssystem iOS 13.2.2 hatte, konnte das Pech haben, dass die Facebook-App die Selfie-Kamera gestartet hat – ohne dass die Betroffenen ein Foto oder Video hätten machen wollen. Facebook sprach von einem Programmfehler, der per Update behoben worden sein soll. Und Aufzeichnungen seien offenbar nicht auf Server von Facebook übertragen worden. Trotzdem zeigte das, wie Apps auch auf iPhones und iPads die Kameras steuern können, ohne dass man selbst aktiv ein Foto oder Video machen möchte: Man muss der entsprechenden App nur ein mal den Zugriff auf die Kamera erlauben und vergessen, diese Erlaubnis wieder zu entziehen.

Tipps zum Schutz

1. Zugegeben, es sieht blöd aus. Aber die Kameras abzukleben, wenn ihr sie nicht braucht, ist eine der besten Methoden, sich vor unbemerkten Aufnahmen zu schützen.
2. Haltet eure Betriebssysteme und Apps aktuell. Sobald es Updates gibt, solltet ihr sie installieren! Aber: Nur Updates aus offiziellen Quellen (also dem App Store, Play Store etc.)! Das gilt natürlich auch für die Apps selbst. Auf dubiosen Internetseiten und in E-Mails oder SMS werden immer wieder angebliche Updates für beliebte Apps angeboten, die sich als schädliche Software entpuppen.
3. Prüft die App-Berechtigungen kritisch! Ist das, was eine App will, wirklich nachvollziehbar? Wenn nicht, installiert sie lieber gar nicht erst. Mehr zu App-Rechten lest ihr hier.
4. Wollt ihr mit einer App ein Foto oder Video machen, braucht sie natürlich das Zugriffsrecht für die Kamera. Aber nachdem ihr fertig seid, könnt ihr das Recht wieder entziehen. Bei Android öffnet ihr dafür die Einstellungen, tippt dann auf Apps, wählt die entsprechende App aus und tippt anschließend auf Berechtigungen. Bei Apple-Geräten öffnet ihr die Einstellungen, scrollt runter zur entsprechenden App, tippt sie an und schaltet dann mit den Schiebereglern die Zugriffsrechte ein oder aus.
5. Nutzt ein aktuelles Virenschutzprogramm und lasst euer Gerät auch mal auf Schadprogramme scannen! Das gilt vor allem fürs Betriebssystem Windows.

Auch Gerätehersteller könnten den Schutz noch erhöhen. So wäre es zum Beispiel sinnvoll, wenn alle Webcams und Smartphone-Kameras eine kleine Leuchte hätten, die angeht, sobald die Kamera aktiv ist. Wobei das auch nur bedingt hilft: Viele Schadprogramme sind in der Lage, die Kamera zu aktivieren, ohne dass eine eventuell vorhandene Kontrolleuchte angeht. Definitiv aber sollten Smartphone-Hersteller länger für Sicherheits-Updates sorgen.

(hamo)

• Checkmarx: Wie Angreifer deine Android-Kamera kapern können, um dich auszuspionieren (auf englisch)
• Proofpoint über neue Möglichkeiten des Trojaners "PsiXBot"
• Heise Online über den Kamera-Bug in der Facebook-App für iOS

Der Text dieses Beitrags steht unter Creative-Commons-Lizenz: Was bedeutet das?

Schlagworte

• Handy/Smartphone
• Hardware
• Internet

Ähnliche Artikel

• Kamera gehackt, beim Pornogucken gefilmt?
• Phishing und Pharming
• Was Apps über mich wissen wollen
• Welcher Sperrbildschirm ist sicher?