11.06.2018

Videoüberwachung inklusive Datenleak-as-a-Service

Eine Untersuchung meines Netzwerkdatenstroms deckte ein umheimliches Verhalten meiner Zmodo ZP-NE14-S Kameras auf und zwang mich zu einer dringenden Sofortmaßnahme!


Die FRITZ!Box erlaubt es den Netzwerkdatenstrom unter die Lupe zu nehmen. Unter http://192.168.178.1/html/capture.html bzw. http://192.168.0.1/html/capture.html kann man für jedes Interface den Traffic abzwacken und mit Hilfe von z.B. Wireshark untersuchen. Gesagt, getan.

FRITZ!Box HTTP Traffic Sniffing

Die Auswahl der Interfaces ist riesig. Je nach Interesse kann man WLAN, LAN, Internet allgemein oder gar USB sniffen. Ich habe mir also mal das GANZE Internet vorgeknöpft.

Das Gequatsche im meinem Netzwerk ist schon recht interessant. Zu unterschiedlichen Zeiten wollen allerlei Dienste nach Hause telefonieren. Kenner sehen auf Anhieb, ob es sich um harmlose Datenpakete handelt oder ob sie verdächtig sind und eine gründlichere Untersuchung erfordern.

In den Fokus meines Interesses fiel aber ein besonderer Traffic, der an die IP 192.241.59.218 ging. Der war verhältnismäßig häufig anzutreffen, und ich war neugierig, was das nun war.

Zuerst habe ich mal whois angewandt. Das hilft den Eigentümer der IP ausfindig zu machen.

	$ whois 192.241.59.218
	...
	OrgName:        Champaign Telephone Company, INC.
	OrgId:          CHAMPA-3
	Address:        1300 South Neil Street
	City:           Champaign
	StateProv:      IL
	PostalCode:     61820-6528
	Country:        US
	RegDate:        2000-10-20
	Updated:        2017-01-28
	...
	CustName:       EP Technology Corporation - EPTCO
	Address:        1401 Interstate Drive
	City:           Champaign
	StateProv:      IL
	PostalCode:     61822
	Country:        US
	RegDate:        2014-07-29
	Updated:        2014-07-29
	Ref:            https://whois.arin.net/rest/customer/C05194723
	...

Die “EP Technology Corporation - EPTCO” ist ein Hightech Unternehmen mit Sitz in den USA, das unter anderem auch Equipment für Videoüberwachung anbietet, bzw. anbot. Auf der Homepage gibt es News zwischen 2008 und 2015, in denen das Unternehmen als “eines von 5000 am schnellsten wachsenden Privatunternehmen in Amerika” (5000 Fastest-Growing Private Companies In America) genannt wird. 2012 war es auf Platz 636, 2014 auf Platz 1317, und 2015 nur noch auf Platz 3579. Tendenz fallend. 2009 wurde der Spin-Off “ZMODO Technology (China) Ltd. Corp.—Subsidiary Company of EPTCO” in China aus der Taufe gehoben, und nur wenige Jahre später wurde auch das Zmodo Trademark in Amerika registriert.

AHA! Meine “Zmodo ZP-NE14-S” Videoüberwachung kommuniziert also freizügig mit einer dubiosen IP Adresse irgendwo in Illinois, USA, während zugleich die dahinter stehende Firma seit 2015 stillgelegt zu sein scheint. Nimmt man an, dass das Unternehmen die Bilder an den Spin-Off in China weiterleitet, wäre das der Supergau.

Ich habe sofort im Einstellungsmenü der Zmodo DVR geschaut, ob ich versehentlich ein Einverständnis zur Datenverarbeitung außerhalb meiner Mauern erteilt hatte. Doch da war kein Haken gesetzt. Ich war verdutzt. Warum sollte die Kamera die Bilder an den Hersteller, bzw. einen Service-Dienstleister senden? Ist die Kamera gehackt worden?

An dieser Stelle habe ich mich an das Unternehmen gewand, habe auf diese Lücke hingewiesen und um Aufklärung gebeten. Das Ganze natürlich mit dem Verweis auf den hiesigen Datenschutz. Die Antwort kam ein paar Tage später mit dem Hinweis, dass es sich hierbei um einen Service handle, bei dem das einkommende Material gesichtet bzw. analysiert werde, damit eine Warnung per Email versendet werden kann, falls es zu einem unerlaubten Zuritt kommt. Dumm nur, dass weder Zmodo noch EPTCO weiß, an wen sie die Warnung versenden soll, denn ich habe keine Email Adresse bekannt gemacht…

Ne, sorry, diese Art des Vertrauensvorschusses gebe ich dem Unternehmen nicht, vor allem, wenn in heutigen Zeiten Persönlichkeitsrechte Dritter in allen erdenklichen Situationen beäugt werden müssen. In dem Antwortschreiben gab es keinen Hinweis auf eine Lösung meines Problems, also musste ich selbstständig tätig werden.

Ich lasse es nicht zu, dass Fotos meines Grundstücks, meiner Familie und meiner Besucher inkl. Datum an irgendwelche Unternehmen oder gar unbekannte Personen automatisiert und permanent weitergereicht werden. Also habe ich dem Kamerasystem mit Hilfe meiner FRITZ!Box in Schranken gewiesen und den Zugriff auf die betroffene IP untersagt.

Traffic-Filter für Zmodo's Kameras

Das Ergebnis ist nun, dass meine FRITZ!Box Tag ein Tag aus mehrere hundert Bilder blockt. An einigen stürmischen Tagen sogar mehrere 10.000 Bilder! Man bedenke, dass jedes Bild einige Zig Kilobytes Datenvolumen besitzt, können schon mal schnell einige hundert MB über die Leitung fließen. TÄGLICH! Das wiederum kann ganz schön schnell ins Geld gehen, wenn man z.B. übergangsweise Internetlösungen mit Datenvolumen, wie einen LTE-Stick, verwendet.

Ich finde, der unaufgeforderte, permanente und nicht abstellbare Datenexport stellt damit eine Zumutung dar, bei dem Zmodo die Grenzen des Erlaubten eindeutig überschritten hat.

Inzwischen habe ich eine Beschwerde in englischer Sprachen an privacy@zmodo.com geschrieben auf deren Antwort ich bis heute warte.

Schwach. Ganz schwach.

Wenigstens hat Zmodo inzwischen eine aktuelle Datenschutzerklärung, in der auch auf den Versand der Video und Audiodaten hingewiesen wird. Ein Auszug:


We may collect the following information, including personal information while you are using Zmodo Products and Services as defined in Terms of Services, including Zmodo Site, Zmodo Web Services, Zmodo Mobile Apps, and Zmodo Subscribed Services:

  • Setup information and account information you provide, such as your date of birth, gender, email address and Wi-Fi network information;
  • Data from the sensors built into the device, such as motion sensors, temperature sensors, light sensors, humidity sensors;
  • Video and audio signals and data;
  • Technical, usage and performance information from the device;
  • Shared content.

Und dennoch, trotz Datenschutzerklärung: Die Art, wie die Daten abgezwackt werden ist ein NO-GO!


11.06.2018

comments powered by Disqus


Copyright © 2009-2018 Damian Thater  -  Impressum  -  Datenschutzerklärung