Stell dir vor, du installierst eine Überwachungskamera in deinem Wohnzimmer, weil du dich sicherer fühlen willst. Du setzt ein starkes Passwort. Du richtest die App ein. Alles funktioniert, der Livestream läuft, du fühlst dich gut. Was du nicht weißt: Die Kamera schickt dein Passwort im Klartext an den Hersteller zurück. Nicht wegen eines Bugs. Nicht wegen eines Versehens. Sondern weil jemand bei VStarcam genau das so programmiert hat.

Der unabhängige Sicherheitsforscher Wladimir Palant, bekannt für seine Arbeit an Browser-Extensions und Passwort-Managern, hat 367 Firmware-Versionen von VStarcam-Kameras analysiert und im Januar 2026 die Ergebnisse veröffentlicht. Sein Fazit ist eindeutig: „Mehrere dieser Mechanismen können nicht als Versehen erklärt werden." Was er gefunden hat, ist kein einzelner Fehler. Es ist ein sich wiederholendes Muster, das sich über vier Jahre hinzieht, durch sechs verschiedene Firmware-Familien wandert und mit jeder Iteration raffinierter wird.

Die Chronologie einer Hintertür

Die Geschichte beginnt 2020, als in der VStarcam-Firmware zum ersten Mal Logging-Funktionen auftauchen, die Passwörter im Klartext mitschreiben. Ein Jahr später, 2021, kommt eine Funktion namens DoSendLogToNodeServer dazu. Diese sendet bei einem fehlgeschlagenen Login-Versuch nicht nur die falschen Zugangsdaten an einen VStarcam-Server, sondern auch die korrekten. Wohlgemerkt: über eine unverschlüsselte TCP-Verbindung.

2022 wird der nächste Baustein eingefügt. Über einen API-Endpunkt namens get_online_log.cgi lässt sich ohne jede Authentifizierung auf die Kamera-Logs zugreifen. Jeder, der die IP kennt, kann mitlesen. Und in diesen Logs stehen die Passwörter der Nutzer.

2024 folgt die dreisteste Ergänzung. Eine neue Version von get_online_log.cgi gibt das Gerätepasswort direkt aus, kaum verschleiert durch XOR mit einem zufälligen Byte. Der Schlüssel zur Entschlüsselung wird als „index"-Parameter gleich mitgeliefert. Wer weiß, wo er hinschauen muss, hat das Passwort in zwei Minuten. Palant beschreibt es so: Jemand bei VStarcam fand offenbar, dass die bisherigen Methoden zu offensichtlich waren, und baute einen subtileren Weg ein, der nur jemandem auffallen würde, der die Firmware dekompiliert.

Man könnte wohlwollend argumentieren, dass der Kundensupport einen Weg braucht, Geräte wiederherzustellen, wenn Nutzer ihr Passwort vergessen. Aber VStarcam hat dafür bereits eine Reset-Funktion. Die Backdoor ist keine Notlösung. Sie ist ein zusätzlicher Kanal, der parallel zu allen anderen Leak-Methoden existiert.

Das PPPP-Problem macht alles schlimmer

VStarcam-Kameras nutzen das PPPP-Protokoll (Peer-to-Peer), um sich mit dem Internet zu verbinden. Das klingt harmlos, bedeutet aber: Die Kamera bohrt sich durch deine Firewall. NAT-Router, Portfilter, alles egal. Das Gerät baut eine dauerhafte Verbindung zu VStarcam-Servern auf, ob du willst oder nicht.

Die Verschlüsselung dieser Verbindung ist dabei ein schlechter Witz. Palant hat in einer separaten Analyse gezeigt, dass der effektive Schlüssel nur vier Byte lang ist und davon ein Byte komplett redundant. In der Praxis reduziert sich die Zahl der möglichen Schlüssel auf rund 157.000 verschiedene Chiffretexte. Ein Angreifer, der das weiß, kann alle Varianten auf einmal senden und die Antwort entschlüsseln. Man muss kein Kryptograph sein, um zu erkennen, dass das keine Verschlüsselung ist. Es ist Dekoration. Palant hat sogar einen Pull Request eingereicht, der ein bestehendes Netzwerk-Scan-Skript erweitert: Statt nur Kameras mit Klartext-Kommunikation zu finden, sendet das Skript jetzt alle 157.092 möglichen Chiffretexte auf einmal und knackt die Antwort anhand des bekannten Magic Bytes am Anfang jedes PPPP-Pakets. Der ganze Vorgang dauert Sekunden.

Und die Geräte-IDs, die man braucht, um eine Kamera überhaupt anzusprechen? Auch die sind kein echtes Hindernis. Der Verifizierungscode umfasst nur fünf Millionen mögliche Kombinationen, und die Server setzen kein Rate-Limiting ein. Brute-Force ist realistisch. Wer irgendwann im selben WLAN wie die Kamera war, konnte die ID ohnehin abgreifen. Und Nutzer posten regelmäßig Screenshots ihrer App-Oberfläche in Foren, auf denen die Geräte-ID sichtbar ist.

Wer jetzt denkt, dass wenigstens der Rest der Infrastruktur solide gebaut ist, wird enttäuscht. Firmware-Updates werden über HTTP statt HTTPS ausgeliefert. Im selben Netzwerk kann jeder das Update abfangen und durch manipulierte Firmware ersetzen. Ältere Kameramodelle haben einen offenen Telnet-Port mit fest einprogrammierten Zugangsdaten. Die Web-Oberfläche hat eine Authentifizierungsumgehung. Und VStarcams eigene „Dual Authentication", die laut Werbematerial „financial grade encryption" bieten soll, funktioniert in der Praxis schlicht nicht, weil der zugehörige Verifizierungsserver auf jede Anfrage mit dem HTTP-Code 200 antwortet, egal welche Parameter geschickt werden.

Du hast vielleicht eine VStarcam, ohne es zu wissen

Hier wird es persönlich. VStarcam verkauft nicht nur unter eigenem Namen. Die gleiche Hardware taucht unter den Marken Besder, MVPower, AOMG und OUSKI auf. Wenn deine Kamera über eine dieser Apps gesteuert wird, stammt sie mit hoher Wahrscheinlichkeit von VStarcam: Eye4, EyeCloud, FEC Smart Home, HOTKam, O-KAM Pro, PnPCam, VeePai, VeeRecon, Veesky, VKAM, VsCam oder VStarcam Ultra. Zwölf verschiedene App-Namen für einen Hersteller mit einer dokumentierten Geschichte gezielter Passwort-Exfiltration.

Das ist ein verbreitetes Muster bei günstigen IP-Kameras. Auf Amazon, AliExpress und Co. verkaufen dutzende Marken Kameras für 20 bis 40 Euro, die alle denselben Chip, dieselbe Firmware und dasselbe Cloud-Backend verwenden. Die Verpackung ist anders, die Sicherheitsprobleme sind identisch. Wer auf Amazon nach „WLAN Kamera" sucht und nach Preis sortiert, landet mit hoher Wahrscheinlichkeit bei einem solchen Gerät. Die Bewertungen sind oft gut, weil die Kameras tatsächlich funktionieren. Dass sie nebenbei dein Passwort exfiltrieren, merkst du beim Auspacken nicht. Wer mehr über die grundsätzlichen Risiken und sinnvolle Gegenmaßnahmen bei smarten Kameras erfahren möchte, findet in unserem Überblick zu Smart-Home-Sicherheit die wichtigsten Grundregeln.

367 Firmware-Versionen, keine zwei sind gleich

Palants Analyse zeigt ein chaotisches Entwicklungsmodell. VStarcam unterhält nicht eine Codebasis, sondern hunderte. Für jedes neue Kameramodell wird eine bestehende Firmware geforkt und angepasst. Änderungen fließen selten zurück. Das Ergebnis sind sechs identifizierbare Cluster (A bis F), die von ARM-Prozessoren mit LiteOS bis zu MIPS-Chips mit Linux reichen.

In diesem Durcheinander ist die Entwicklung der Backdoors trotzdem nachvollziehbar. Cluster C führte 2020 das Logging von Klartext-Passwörtern ein. Cluster B brachte 2022 den unautorisierten Log-Zugriff. Cluster F, die aktivste Entwicklungslinie, kombiniert seit 2024 alle gefundenen Schwachstellen gleichzeitig: Passwort-Logging, Log-Upload an VStarcam-Server, unautorisierten API-Zugriff und die dedizierte Backdoor. Bei anderen Clustern gibt es Anzeichen dafür, dass ältere Leak-Methoden durch die subtilere Backdoor ersetzt wurden. Das deutet nicht auf Schlampigkeit hin, sondern auf bewusstes Design.

Was Palant ebenfalls herausfand: Einige Firmware-Versionen in Cluster E entfernen die älteren Passwort-Leaks und ersetzen sie ausschließlich durch die subtilere Backdoor. Die Entwickler haben also nicht einfach immer mehr Code angehäuft. Sie haben aufgeräumt. Sie haben die auffälligen Methoden gegen eine unauffälligere ausgetauscht. So arbeitet man nicht, wenn einem ein Fehler unterlaufen ist. So arbeitet man, wenn man ein Feature pflegt.

Noch ein Detail, das leicht untergeht: Die Firmware-Versionsnummern bei VStarcam sind völlig willkürlich. Der zweite Teil soll das Kameramodell kennzeichnen, tut es aber nur manchmal. Der letzte Teil ist die Build-Nummer, der erste die Hersteller-ID (48 für den globalen Markt, 66 für den russischen Vertrieb, 10 für neuere Releases). Selbst wer alle Versionen kennt, kann kaum zuordnen, welche Firmware auf welcher Kamera läuft. Ob das Absicht oder Inkompetenz ist, bleibt offen.

VStarcam schweigt

Palant hat versucht, die Probleme koordiniert offenzulegen. Drei Monate lang hat er alle erreichbaren Kontaktadressen von VStarcam angeschrieben. Er hat nie eine Antwort erhalten. Kein Patch. Kein Statement. Kein Dementi. Nichts. Palant hat daraufhin die Ergebnisse ohne die übliche 90-Tage-Karenzzeit veröffentlicht, was in der Security-Community als letztes Mittel gilt.

Auf der eigenen Website wirbt VStarcam derweil mit ISO-27001:2022-Zertifizierung. Das klingt beeindruckend, bis man bedenkt, dass ISO 27001 eine dedizierte Kontaktperson für Schwachstellenmeldungen verlangt. Eine solche Person gibt es bei VStarcam offenbar nicht, zumindest keine, die von außen erreichbar wäre. Andere Sicherheitsforscher berichten von ähnlichen Erfahrungen: VStarcam reagiert einfach nicht.

Was Kamerabesitzer jetzt tun sollten

Wer eine VStarcam-Kamera besitzt, hat im Grunde zwei Optionen, und keine davon ist bequem.

Option eins: Internetverbindung kappen. Die Kamera muss nicht physisch vom Netzwerk getrennt werden. Die meisten Router bieten unter Kindersicherung oder Zugriffssteuerung die Möglichkeit, einzelnen Geräten den Internetzugriff zu verbieten. Danach funktioniert die Kamera nur noch im lokalen Netzwerk. Wer von unterwegs zugreifen will, kann versuchen, Portweiterleitung für den RTSP-Port einzurichten, sollte aber ein RTSP-Passwort verwenden, das VStarcam nicht kennt.

Option zwei: Kamera ersetzen. Wer sich nach einer Alternative umsieht, sollte vor allem auf lokale Speicherung ohne Cloud-Zwang achten und Kameras meiden, die das PPPP-Protokoll verwenden. Geräte, die ohne Zutun des Nutzers durch die Firewall tunneln, gehören nicht dir. Sie gehören dem Hersteller.

Einige Hersteller wie Reolink oder Eufy bieten Modelle mit lokaler Speicherung und ohne Cloud-Pflicht an. Reolink etwa setzt auf lokale SD-Karten und optionales NAS-Recording per RTSP, ohne dass ein Cloud-Konto nötig wäre. Wer es noch konsequenter haben will, integriert die Kamera in ein lokales System wie Home Assistant, wo das Videomaterial nie den eigenen Server verlässt und keine Verbindung zum Hersteller nötig ist.

Es hilft auch, bei der Kaufentscheidung einen einfachen Test anzuwenden: Funktioniert die Kamera noch, wenn man ihr den Internetzugang komplett sperrt? Wenn nein, sollte man sich fragen, warum das Gerät unbedingt nach Hause telefonieren muss.

Warum das nicht nur ein VStarcam-Problem ist

Der VStarcam-Fall ist kein Einzelfall, aber er ist besonders gut dokumentiert. 367 Firmware-Versionen, analysiert von einem Forscher, der seine Methodik offenlegt und seine Ergebnisse visuell aufbereitet. Die „VStarcam-Spiralgalaxie", ein Graph aller Firmware-Cluster mit farblich markierten Schwachstellen, sieht aus wie moderne Kunst und liest sich wie ein Horrorfilm.

Was diesen Fall von den üblichen IoT-Sicherheitslücken unterscheidet: Es geht nicht um vergessene Debug-Schnittstellen oder schlampige Konfiguration. Es geht um Code, der über Jahre hinweg weiterentwickelt wurde, mit dem erkennbaren Ziel, Nutzerpasswörter abzugreifen. Ob dahinter wirtschaftliche Interessen stehen (Kundensupport, der Passwörter braucht, weil die eigene Dual-Authentication kaputt ist) oder staatlicher Zugriff, ist letztlich egal. Das Ergebnis für den Endnutzer bleibt dasselbe: Die Kamera, die das Zuhause schützen soll, ist selbst das Sicherheitsrisiko.

Das PPPP-Protokoll, das bei VStarcam zum Einsatz kommt, wird auch von zahlreichen anderen Billigkameras verwendet. Palant hat in früheren Analysen bereits LookCam-Geräte untersucht und ähnliche Probleme gefunden, wenn auch ohne die gezielte Backdoor-Komponente. Wer sich im unteren Preissegment bewegt, hat gute Chancen, auf Hardware zu stoßen, die nach denselben Prinzipien gebaut wurde. Die Geräte unterscheiden sich im Logo auf der Vorderseite. Die Architektur dahinter ist oft dieselbe.

Und das ist vielleicht die wichtigste Lektion aus diesem Fall. Nicht jedes Gerät, das sich „Sicherheitskamera" nennt, verdient diesen Namen. Bei VStarcam war das Versprechen von Sicherheit nie mehr als ein Etikett auf der Verpackung. Unter der Oberfläche war es vier Jahre lang genau das Gegenteil.

Stand: April 2026.