Western Digital: Frische Firmware-Updates für angreifbare My-Cloud-Lösungen

Western Digital kam vor einigen Tagen mit seinen Speicherlösungen in die Nachrichten. Diese weisen diverse Sicherheitslücken auf, des Weiteren hat Western Digital einen fest hinterlegten Admin-Zugang im System, der natürlich Zugriff auf alles gibt. Mittlerweile hat der Hersteller auch bereits einige Updates veröffentlicht, die einige Löcher stopfen sollen. Laut WD sollen die Nutzer, die Auto-Updates aktiviert haben, dieses Updates auch schon bekommen, alle anderen können für ihr Modell nach einem Update auf der Firmware-Seite nachschauen.

Dort gibt es bereits für Lösungen wie die My Cloud EX2 die Version 2.11.169, die eine große Lücke (CVE-2017-17560)  schließt. Müsst ihr mal schauen, es ist nicht überall die identische Firmware, so gibt es für die My Cloud EX2100 bereits die Firmware 2.30.181. Auch diese nennt CVE-2017-17560: „The web administration component, /web/jquery/uploader/multi_uploadify.php, provides multipart upload functionality that is accessible without authentication and can be used to place a file anywhere on the device’s file system. This allows an attacker the ability to upload a PHP shell onto the device and obtain arbitrary code execution as root.“

Andere Schwachstellen, von denen man in den letzten Tagen hörte, sollen in „zukünftigen Updates“ geschlossen werden. Western Digital teilt mit, dass keine Geräte mit My Cloud Home betroffen wären, sondern  lediglich solche, die auch Dashboard Cloud Access erlauben:

My Cloud EX2

·My Cloud EX4

·My Cloud EX2100

·My Cloud EX4100

·My Cloud EX2 Ultra

My Cloud DL2100

My Cloud DL4100

My Cloud PR2100

My Cloud PR4100

My Cloud Mirror

My Cloud Mirror Gen 2

Hier kann man in den Einstellungen den Cloud Access deaktivieren, zudem kann man das Port Forwarding unter „Settings->Network->Port Forwarding“ und im Router deaktivieren, damit niemand von außen zugreifen kann.

-> Zum Beitrag Western Digital: Frische Firmware-Updates für angreifbare My-Cloud-Lösungen

-> Zum Blog Caschys Blog


Continue reading “Western Digital: Frische Firmware-Updates für angreifbare My-Cloud-Lösungen”

BuddyGuard FLARE im Test: Das intelligente Alarmsystem für daheim

Das Berliner Start-up-Unternehmen BuddyGuard hat mit seinem intelligenten Alarmsystem FLARE ein Produkt in petto, das übliche “dumme” Alarmanlagen durch seine zahlreichen Sensoren und Funktionen überflüssig machen soll. BuddyGuard startete eine Kickstarter-Kampagne und konnte mit FLARE als eines der ersten deutschen Unternehmen auf der Plattform anscheinend gut überzeugen. Ich habe mir das Diskusscheiben-große Gerät in den letzten Wochen mal ein wenig genauer anschauen dürfen und möchte euch an dieser Stelle meinen ersten Eindruck schildern und euch FLARE einfach mal ein wenig näher bringen.

FLARE ähnelt einem Ufo, welches senkrecht an der Wand mit Hilfe eines Magneten angebracht wird, welcher wiederum mit zwei Schrauben befestigt ist. Per Mikro-USB-Kabel wird das Gerät mit Strom versorgt, ein kleiner Li-Ionen-Akku versorgt FLARE für einen übersichtlichen Zeitraum mit Saft, sollte der Strom mal ausgefallen sein. Nach Rücksprache mit CEO Wouter Verhoog, was die Laufzeit dieses Akkus angeht, wies mich jener darauf hin, dass man doch besser das Kabel angeschlossen lassen sollte. Eine dauerhafte Akku-Lösung bei der man diesen nur ab und an mal laden muss, ist nach aktuellem Stand definitiv noch nicht möglich. Das ist aber auch kein Wunder, immerhin werkeln gerade in Abwesenheit des Besitzers zahlreiche Sensoren im Inneren des FLARE, um das Heim “smart” zu überwachen.

Das Gerät hält quasi Augen und Ohren während der Abwesenheit von Haus- oder Wohnungsbesitzern offen, um bei eventuellen Einbruchsversuchen umgehend reagieren zu können. Reagieren heißt hier nicht nur umgehend den Besitzer zu informieren und Alarm zu schlagen, durch sogenannte Add-Ons soll es sogar möglich sein, einen mit der Anlage verknüpften Sicherheitsdienst zu informieren, damit dieser weitere Schritte einleitet. Zu den einzelnen optionalen Erweiterungen komme ich aber ein wenig später zu sprechen..

Folgende Specs nennt BuddyGuard für FLARE:

Preis: 449 €

Kamera: 1080p HD, 130° Weitwinkellinse, Infrarot-LED-Nachtsicht

Sensoren: Bewegungsmelder, Anti-Manipulations-Sensor

Audio: 2-Wege-Audio, 80 dB Sirene, Audio-Analyse

Prozessor: 2-Kern ARM-Cortex 9 mit 1,2 GHz

Verbindung: 2,4 GHz WLAN, Bluetooth, 4G LTE Backup-SIM

Akku: Li-Ion

Datenschutz: TLS/SSL-Datenübertragung, AES256 Video- und Audio-Verschlüsselung,                    biometrische Daten werden auf dem Gerät gespeichert

Speicher: kein interner Speicher, Cloud-Anbindung möglich gegen Gebühr

Maße: Durchmesser 165 mm, Tiefe 40 mm, Gewicht 350 Gramm

Die Montage ist wirklich einfach. Der Magnet muss im zu überwachenden Bereich so platziert werden, dass Nutzer des Systems diesem auf Augenhöhe entgegentreten können. Hierbei weist BuddyGuard auch darauf hin, dass man auf die Kinder im Haushalt achten soll. Logisch, aber wie soll man das Gerät für Erwachsene und Kinder gleichzeitig auf Augenhöhe montiert bekommen? Eben. Mein 5-Jähriger dürfte an dieser Stelle selbst mit einem Hocker noch Probleme haben, in das vom 1,89 m-großen Papa eingerichtete System schauen zu können. Wenigstens lässt sich dieses auch per Sprache steuern und räumt so eine Lösung für das Problem ein. Nun muss FLARE nur noch mit Strom versorgt werden und schon geht es an die Einrichtung.

Hierfür muss man sich, wie inzwischen von den meisten smarten Anlagen gewohnt, die entsprechende App für iOS oder Android herunterladen und installieren. Diese führt dann Schritt für Schritt durch die erste Einrichtung, bei der unter anderem ein Benutzerkonto eingerichtet werden muss und man FLARE mit seinem heimischen WLAN verbindet. Besonders gut gefällt mir an dieser Stelle die inzwischen deutsche Sprachführung über die Lautsprecher des Systems parallel zu den Anzeigen in der App.

Dies hilft vor allem bei den nächsten Schritten zum Anlegen diverser zutrittsberechtigter Personen für denselben Haushalt. Hier unterscheidet BuddyGuard in drei Gruppen: Residents, Friends und Guests.

Der Unterschied liegt logischerweise in den Berechtigungen der einzelnen Gruppen in Bezug auf das System. Aktuell lassen sich noch keine Gäste einrichten, dies wird dann vermutlich in einem kommenden Update nachgereicht. Der Sinn in den unterschiedlichen Gruppen liegt darin, dass das System laut Hersteller erkennt, wenn sich nicht berechtigte Personen innerhalb eurer vier Wände bewegen. Über diverse Authentifizierungs-Methoden kann FLARE dann quasi entschärft werden.

Gesichts- und Stimmerkennung erklären sich von selbst. Beim Geheimsatz verhält es sich so, dass man Personen, die dem Gerät „noch nicht vorgestellt wurden“, also kein Profil darin besitzen, einen Satz nennt, mit dem sie sich beim FLARE authentifizieren können. Handwerker beispielsweise oder die Schwiegereltern, die sich während eures Urlaubs um die Haustiere kümmern. Hier muss man natürlich für sich selbst abschätzen, wem man da ausreichend genug vertrauen kann. Richtet man die Authentifizierung per Geolocation ein, so prüft das System anhand der App, wo ihr euch gerade mit eurem Smartphone aufhaltet. Verlasst ihr also den sicheren Bereich des Systems, so schaltet sich dieses scharf. Kommt ihr dann anschließend nach Hause, deaktiviert sich FLARE selbstständig. Das klappt soweit alles ganz gut, heißt aber im Umkehrschluss auch, dass wenn ich bei den direkten Nachbarn zu Besuch bin, jeder Hansel bei mir einsteigen könnte, weil das System garantiert denkt, dass ich daheim bin.

Während meines Tests konnte ich alle Methoden ausprobieren und kann bestätigen, dass alles wie erwartet funktioniert. Leider auch die befürchtete Problematik beim Bestimmen der Geolocation. Diese muss ich ja aber nicht zwingend verwenden. Das System erkennt sowohl mich als auch meine Frau sehr schnell am Gesicht, unser Sohn muss allerdings per Stimme registriert werden. Er ist einfach zu klein, als dass er problemlos in den Sensor blicken könnte.

Ihn wiederum erkennt FLARE dann aber auch anhand seiner Stimme sehr schnell und weiß fortan, dass alle Bewohner des Hauses da sind. Schwiegereltern und Freunde müssten sich im Normalfall per Geheimsatz anmelden, allerdings könnt ihr gerne mal probieren, eben jene zu überzeugen, sich am System zu registrieren. Hier erwische ich mich schnell, wie ich FLARE bei Besuchen einfach komplett deaktiviere.

Die Erkennung von Geräuschen und Bewegungen klappt sehr gut, allerdings habe ich nach einer gewissen Zeit ein wenig an den Benachrichtigungen geschraubt, weil teils bereits Regen auf den Dachfenstern zu Meldungen geführt hat. FLARE lernt – so lässt es zumindest die App immer wieder verlauten – durchgehend dazu, sodass die Erkennungsrate immer genauer werden soll.

Der LED-Ring um das Gerät dient nicht nur zur Visualisierung seines Bereitschaftszustandes, sondern hilft beispielsweise auch während der Einrichtung der Gesichtserkennung durch das Anzeigen der Blickrichtung, in die der Kopf gedreht werden soll. Im Privacy-Modus wird die Linse in der Mitte wie ein Auge verschlossen, das Ganze erinnert ein wenig an Furby, falls ihn noch wer kennen sollte ?

Wird ein Alarm ausgelöst (lässt sich zur Not auch direkt aus der App heraus erledigen), dann ertönt eine bis zu 80 Dezibel laute Sirene. Im Test hatte ich schnell meine Nachbarn an der Tür, da diese den Alarm ausgesprochen gut wahrnehmen konnten. Punkt für FLARE. Die Lautstärke der Sirene kann man allerdings in der App auch herunter justieren, wenn man denn möchte.

Die optionalen Buddy-Funktionen

Zu den sogenannten Add-ons des FLARE zählen diverse Dienste, die die Sicherheit des Systems noch einmal erhöhen sollen. Dies umfasst BuddySIM, BuddyReact, BuddyCall und BuddyCloud. Sämtliche Dienste kosten allerdings jeweils eine zusätzliche Monatsgebühr von 5 €, BuddyReact sogar 15 €. Doch was bedeuten diese Funktionen?

BuddySIM

Sollte das heimische WLAN mal nicht erreichbar sein, weil der Router sich gerade verabschiedet hat oder euer Provider mit Problemen zu kämpfen hat, dann wäre FLARE nicht mehr erreichbar und kann euch so auch nicht mehr über eventuelle Ereignisse informieren. Im Gerät ist allerdings eine eigene 4G LTE-SIM integriert, die sich im Notfall mit jedem zur Verfügung stehenden mobilen Netz verbinden kann. BuddySIM kostet 5 € monatlich.

BuddyReact

BuddyReact streamt bei einem Einbruch sämtliches Audio- und Videomaterial an ein von BuddyGuard aufgestelltes Monitoring-Team, welches die Daten nutzt, um die Polizei zu informieren und auf den Weg zu schicken. Dieser Dienst steht aktuell ausschließlich in Deutschland zur Verfügung und kostet allein 15 € monatlich. Allerdings benötigt der Service auch eine aktivierte BuddySIM, also noch einmal 5 € monatlich obendrauf. Ob sich das rentiert, wenn ein Unternehmen die Polizei informiert, statt der Besitzer selbst, wenn er vom FLARE informiert wird? Muss sich zeigen, denke ich.

BuddyCall

Mit BuddyCall ruft euch das System auf einer hinterlegten Handynummer an und sendet ebenfalls eine SMS dorthin, sobald bei euch eingebrochen werden sollte. Hierfür verlangt BuddyGuard 5 € monatlich.

BuddyCloud

Leider ist einer der größten Nachteile vom Gerät, dass es keinen eigenen Speicher besitzt und demnach nichts lokal sichern kann, was das Gerät bei eventuellen Vorfällen alles aufzeichnet. Hier bietet BuddyGuard eine eigene Cloud-Lösung an, welche für 5 € monatlich bis zu 10 GB an Daten für euch sichern kann. Das Material wird dort für 90 Tage zwischengespeichert bis es gelöscht wird. Finde ich persönlich eine schlechte Lösung. Lokaler Speicher wäre eine Option oder aber zusätzlich die Möglichkeit, ein eigenes NAS zur Sicherung nutzen zu können.

Mein Fazit

Es ist zu merken, dass BuddyGuard wirklich viel Arbeit in sein Projekt gesteckt hat und auch weiterhin daran arbeitet. Während des Testzeitraums hatte ich immer wieder mal Kontakt mit CEO Wouter Verhoog, der mir umgehend alle anstehenden Fragen zum System beantwortet hat und mir ein paar Infos zukommen lassen konnte, wie es mit der Entwicklung weitergehe. So erfuhr ich unter anderem, dass es wohl ab Januar dann auch soweit sein soll, dass man dem Sicherheitskreis die Gruppe Gäste hinzufügen kann.

Die Idee von FLARE ist gut und wurde in den meisten Aspekten auch gut umgesetzt. Die Einrichtung erfolgt per App und Sprache, die App an sich ist selbsterklärend aufgebaut. FLARE hat mich und meine Family durchweg erkannt und sich entsprechend deaktiviert, wenn es so sein sollte. Meine Schwiegereltern konnten sich leider nicht mehr an den genauen Wortlaut des geheimen Satzes erinnern und hätten im „Ernstfall“ Alarm ausgelöst (der mit 80 dB echt ordentlich laut ist). Hier wäre es sinnvoller, solche Familienmitglieder etwas umständlich per Gesicht und Sprache zu registrieren.

Was mich ebenso stört, ist das andauernd sichtbare Kabel am Gerät. Ein Akku, der ausdauernder wäre und nur am Wochenende mal über Nacht geladen werden muss – das wäre mir persönlich lieber. Sind aber nur eigene Präferenzen. Die Add-ons, naja darüber lässt sich streiten. Ich vermute, dass nicht viele Kunden bereit sind, dafür monatliche Gebühren abzudrücken. Lokaler Speicher und eine durchgehend aktivierte SIM, das schaffen auch andere Unternehmen.

FLARE ist demnach noch lange nicht am Ende seiner Entwicklung angekommen, funktioniert aber im bisherigen Zustand schon recht gut. Mal sehen, was sich hier in Sachen Firmware und App in Zukunft noch so tut.

-> Zum Beitrag BuddyGuard FLARE im Test: Das intelligente Alarmsystem für daheim

-> Zum Blog Caschys Blog

Unser Feedsponsor:

BuddyGuard FLARE im Test: Das intelligente Alarmsystem für daheim


Continue reading “BuddyGuard FLARE im Test: Das intelligente Alarmsystem für daheim”

EFF veröffentlicht 2017er „Who has your Back“-Bericht

Die Electronic Frontier Foundation (EFF) hat mal wieder den jährlichen „Who has your Back“-Bericht veröffentlicht. Auch in der 2017er-Ausgabe geht es darum, wie nach Ansicht der EFF Unternehmen mit Benutzerdaten umgehen. Wer die EFF nicht kennt, hier einmal die Informationen seitens Wikipedia: Die Electronic Frontier Foundation (EFF) ist eine im Juli 1990 von John Perry Barlow und Mitchell Kapor gegründete nichtstaatliche Organisation mit Sitz in San Francisco, die sich mit den Bürgerrechten im Cyberspace beschäftigt.

Ziel ist eine mediale Selbstbestimmung des Bürgers. Die Initiativen der Organisation behandeln Themen wie Zensur im Internet, Überwachung, Software-Patente, Urheberrechte und Tauschbörsen. Doch zurück zum Thema. Die EFF hat unter fünf verschiedenen Gesichtspunkten Dienste bewertet.

So geht es unter anderem darum, ob ein Unternehmen Transparenz-Berichte veröffentlicht, ob die Benutzer über Anfragen seitens der Behörden informiert werden oder aber auch, ob der Dienst seinen Benutzern mitteilt, wie es mit Behörden-Anfragen umgeht. Ebenfalls ein Kriterium: setzt sich die Firma gegen die staatliche Überwachung ein und bezieht Position?

5 Sterne – und somit die volle Punktzahl – bekamen folgende, hierzulande bei Anwendern bekannte Unternehmen: Adobe, Dropbox, Pinterest, Uber und WordPress.com. Kritik gibt es unter anderem für WhatsApp aber auch für Amazon. Zwar habe man bei Anfragen von Behörden Durchsuchungsbefehle verlangt, doch man zeige nur mangelhaften Einsatz für seine Nutzer. Zwei Sterne bekommen diese Internet-Größen – hiermit liegt man aber noch vor den US-Telekommunikationsunternehmen. Noch gute vier Sterne bekommt Apple, Facebook, Google, Microsoft, Slack.

Bei Interesse findet ihr den langen Bericht der EFF hier.


Continue reading “EFF veröffentlicht 2017er „Who has your Back“-Bericht”

ASUS ZenFone AR Smartphone kann VR und AR #VIDEO

ASUS ZenFone AR Smartphone

Der Tech-Riese ASUS präsentiert das Eigenangaben zufolge „weltweit erste Smartphone, das sowohl Augmented als auch Virtual Reality-Anwendungen ermöglicht.

Ob dieses Handy das „Next big thing im Smartphone-Bereich“ wird oder eher ein Rohrkrepierer wird sich zeigen müssen. Zumindest ist das neue ASUS ZenFone AR Smartphone das weltweit erste Smartphone, das die beiden Google Plattformen Tango und Daydream unterstützt.

Im Inneren werkeln ein flotter Qualcomm Snapdragon 821 Prozessor (für Tango optimiert) der von 6 GB RAM sowie 128 GB internem Speicher unterstützt wird.

Mobilität der Zukunft

Augmented und Virtual Reality-Anwendungen eröffnen einen schnell wachsenden Markt der mobilen Technologie. ASUS und Google sind bereits Partnerschaften mit namenhaften Marken wie BMW eingegangen, um Nutzern ein breites Spektrum an Anwendungsmöglichkeiten zu bieten.

Damit wird beispielsweise die maßgeschneiderte Konfiguration zum Shopping-Erlebnis der Zukunft. Für den Online-Handel bedeutet dies, dass beispielsweise teure Rücksendungen vermieden werden können und auch der stationäre Handel kann damit seine Flächenverwendung besser planen, da nur Basismodelle von Produkten bereitstehen müssen.

AR-Erlebnisse dank „Tango“

Ermöglicht werden diese Augmented Reality (AR)-Erlebnisse dank der Tango Technologie, die sich durch die drei Kernfunktionen Bewegungsverfolgung, Tiefenwahrnehmung und räumliche Erkennung durch Vermessung des Umfelds (Area Learning) auszeichnet. Daydream ist die Plattform von Google für hochwertige, mobile Virtual Reality (VR) und unterstützt entsprechende VR-Apps. Gepaart mit dem Daydream View Headset und Controller können Nutzer auf virtuelle Abenteuerreise gehen.

Das ZenFone AR wurde in enger Zusammenarbeit mit Google für die besten AR- und VR-Erfahrungen entwickelt.

Verfügbarkeit und Preis

Das ASUS ZenFone AR Smartphone ist ab sofort für 899,- EUR in der Farbe Charcoal Black im Handel verfügbar.

Links: https://www.asus.com/de

Continue reading “ASUS ZenFone AR Smartphone kann VR und AR #VIDEO”

Startups | Deutschland und Frankreich wollen Tech-Gründer fördern

Startups Deutschland und Frankreich fördern Startups

Der deutsch-französische Investitionsfonds soll Start-up-Unternehmen fördern. Darüber solle am 13. Juli beim deutsch-französischen Ministerrat beraten werden, sagte Bundesaußenminister Sigmar Gabriel (SPD) in Paris nach einem Treffen mit seinem französischen Amtskollegen Jean-Yves Le Drian. Zur finanziellen Ausstattung des Topfes machte Gabriel keine Angaben.

„Deutschland und Frankreich haben eine deutlich bessere Gründerkultur für junge Unternehmen als noch vor ein paar Jahren“, sagte Gabriel. „Aber wenn diese Unternehmen in die Wachstums- und Internationalisierungsphase kommen, dann gibt es in unseren Ländern deutlich schwierigere Investitionsbedingungen und -möglichkeiten als zum Beispiel in den Vereinigten Staaten.“

Le Drian sagte, bei dem bilateralen Spitzentreffen in Paris werde es auch um Vorhaben in den Bereichen Verteidigung, Ausbildung und Jugend gehen.

Continue reading “Startups | Deutschland und Frankreich wollen Tech-Gründer fördern”

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies