Shutterstock
News & Trends
32

Aufnahmen von Babykameras frei zugänglich

David Lee
12.5.2026

Mindestens 1,1 Millionen Überwachungskameras waren ungeschützt im Netz. Die technischen Details sind haarsträubend.

Kameras, die mit dem Internet verbunden sind, sollten gut gegen Hackerangriffe geschützt sein. Sie sind es aber oft nicht. Mit einem besonders krassen Fall bei Babykameras ist der Franzose Sammy Azdoufal nun an die Öffentlichkeit getreten. Er war es, der Anfang 2026 zufällig ein riesiges Sicherheitloch bei DJI-Staubsaugerrobotern entdeckte. Laut seiner Dokumentation waren 1,1 Millionen Geräte in 118 Ländern von aussen zugänglich. Sprich: Die Bilder, die diese Kameras schossen, konnten von jeder Person betrachtet werden.

Welche Kameras waren betroffen?

Betroffen waren Babykameras und andere Überwachungskameras, welche die Technologie des chinesischen Herstellers Meari verwenden. Meari ist ein White-Label-Hersteller. Das heisst, es gibt unzählige Marken, die ihr eigenes Logo auf die Geräte kleben, aber alle die gleiche Plattform von Meari nutzen.

Gegenüber The Verge sagt Azdoufal, die meisten der von ihm beschriebenen Schwachstellen seien inzwischen behoben worden. Diese waren allerdings so gravierend, dass ein schales Gefühl zurückbleibt. Um herauszufinden, ob das eigene Gerät betroffen ist, empfiehlt Azdoufal, in der App den Hostnamen zu checken. Lautet dieser auf «apis.meari.com.cn» oder «mqtts*.meari.com.cn», handelt es sich um ein betroffenes Gerät. In unserem Sortiment befinden sich eine Indoor- und eine Outdoor-Netzwerkkamera der Marke Meari. Ich habe intern gebeten, zu prüfen, ob diese aus dem Sortiment genommen werden müssen.

Die Kameras sind über die ganze Welt verteilt, viele davon in Europa.
Die Kameras sind über die ganze Welt verteilt, viele davon in Europa.
Quelle: Sammy Azdoufal

Keine Sicherheitslücke, sondern ein Sicherheitskrater

Dass die Geräte höchst unsichere Default-Passwörter wie «admin» verwendeten, war nicht das grösste Problem. Schwerwiegender war, dass die Kameras die Informationen über das MQTT-Protokoll an jeden versendeten, der sie abonnierte. Dies war nicht an ein bestimmtes Gerätes gebunden. In der Android-App war zudem ein Authentifizierungsschlüssel hinterlegt, der einfach ausgelesen werden konnte. Er bot Zugriff auf sämtliche Geräte.

Laut Aussagen von Azdoufal hat Meari zwischenzeitlich nicht nur die Bugs behoben, sondern ihm letztlich auch eine Belohnung von 24 000 Euro überwiesen. Doch zu Beginn zeigte sich das Unternehmen nicht kooperativ. Zunächst wurden seine Hinweise ignoriert. Dann entdeckte er, dass ein interner Server ungeschützt die E-Mail-Adressen und Telefonnummern sämtlicher 678 Mitarbeiter offen legte. Laut Darstellung von The Verge reagierte Meari erst auf diesen Befund hin – und zwar anscheinend mit einer Drohung. Zurück bleibt der Eindruck eines unprofessionell agierenden Unternehmens mit fehlendem Sicherheitsbewusstsein.

Titelbild: Shutterstock

3 Personen gefällt dieser Artikel

User Avatar
User Avatar
David Lee
Senior Editor
David.Lee@digitecgalaxus.ch

Durch Interesse an IT und Schreiben bin ich schon früh (2000) im Tech-Journalismus gelandet. Mich interessiert, wie man Technik benutzen kann, ohne selbst benutzt zu werden. Meine Freizeit ver(sch)wende ich am liebsten fürs Musikmachen, wo ich mässiges Talent mit übermässiger Begeisterung kompensiere. 

Security
Folge Themen und erhalte Updates zu deinen Interessen
News & Trends

Vom neuen iPhone bis zur Auferstehung der Mode aus den 80er-Jahren. Die Redaktion ordnet ein.

Alle anzeigen

Diese Beiträge könnten dich auch interessieren

  • News & Trends

    Insta und Co: Meta-KI analysiert Bilder zur Altersverifikation

    von Florian Bodoky

  • News & Trends

    Sony AI: Tischtennis-Roboter Ace schlägt menschliche Profis

    von Kim Muntinga

  • News & Trends

    Kuriositäten in Barcelona: die MWC-Trends 2026

    von Michelle Brändle

2 Kommentare

Avatar
later