Neue Sicherheitslücken in gängigen Smart-Home-Produkten aufgedeckt

Die drei auf Amazon meistverkauften Smart-Home-Hubs bergen erhebliche Sicherheitsrisiken für ihre Nutzer. Darauf hat jetzt der Sicherheitsanbieter Tripwire aufmerksam gemacht. Er fand in ihnen bislang unbekannte Lücken, die es Angreifern ermöglichen, die Kontrolle über alle mit den Geräten gesteuerten Smart-Home-Funktionen zu übernehmen – entweder über das lokale Netzwerk oder auch via Internet aus der Ferne. Nur zwei der drei Hersteller haben ihre Geräte inzwischen gepatcht, berichtet IT Security Guru.

Die von Tripwire entdeckten Schachstellen erlauben es zum Beispiel Türschlösser ohne Authentifizierung zu öffnen, Alarmeinstellungen zu verändern oder sogar auf das lokale Netzwerk zuzugreifen. “Smart-Home-Hubs geben Nutzern die Kontrolle über internetfähige Geräte in ihrem Haus, aber sie öffnen auch neue Türen für Kriminelle. Derzeit ist die Gefahr noch relativ gering, sie wird aber zunehmen, sobald Kriminelle erkennen, wie viele Informationen sie bei Angriffen auf diese Geräte erhalten können”, sagte Craig Young, Sicherheitsforscher bei Tripwire, im Gespräch mit IT Security Guru.

Die von Tripwire gefundenen Schwachstellen lassen sich unter anderem mithilfe von präparierten Websites oder Smartphone-Apps ausnutzen. Sie erlauben Angreifern Befehle auf Systemebene auszuführen. “Für eine Remotecodeausführung anfällige Smart-Home-Hubs erlauben es einem Angreifer, von einem kompromittierten Computer aus auf einen Hub zuzugreifen und sich im Netzwerk zu verstecken”, ergänzte Tyler Reguly, Manager of Security Research bei Tripwire. Eine Cross-Site-Request-Forgery ermögliche es sogar, die Einstellungen eines Geräts bei jedem Zugriff auf das Web zu manipulieren.

Vielen Verbrauchern scheinen die Risiken von Smart-Home-Produkten bewusst zu sein. Wie eine im vergangenen Jahr in elf Ländern durchgeführte Umfrage des Sicherheitsanbieters Fortinet ergab, sind Hausbesitzer am Thema Smart Home oder Connected Home zwar sehr interessiert und erwarten in diesem Bereich in den nächsten fünf Jahren rasche Fortschritte, sind aber in Hinblick auf Datenschutz, Sicherheit und Preispunkten noch skeptisch. 61 Prozent der Befragten glauben, dass das das vernetzte Zuhause, in dem Haushaltsgeräte und Unterhaltungselektronik mit dem Internet verbunden sind, in den nächsten fünf Jahren “sehr wahrscheinlich” Realität wird. Während in China der Wert in dieser Kategorie bei 85 Prozent liegt, sind es in Deutschland nur 57 Prozent.

Im weltweiten Durchschnitt liegen deutsche Umfrageteilnehmer dagegen bei den Sicherheitsbedenken: Mit 70 Prozent gab ein nahezu ebenso hoher Anteil wie bei den weltweit Befragten (69 Prozent) an, sie seien “sehr besorgt” oder “etwas besorgt”. Gefahren für die eigene Privatsphäre durch das Connected Home sieht mit 55 Prozent ein etwas kleinerer Anteil der Befragten. In dieser Hinsicht sind die Umfrageteilnehmer in Indien (63 Prozent) am misstrauischsten, in Deutschland teilten 51 Prozent der Befragten diese Ansicht.

Dass die Sorgen nicht aus der Luft gegriffen sind, zeigt eine im Februar vorgelegte Studie der EU-Sicherheitsagentur ENISA. Darin werden vorrangig integrierte Medien wie Smart-TVs als Problem für den Datenschutz angeprangert. Sie könnten durch das Abgreifen persönlicher Daten eine Verbindung zwischen dem Nutzer und seiner Umgebung herstellen.

Als grundsätzliches Problem haben die Autoren der ENISA-Studie zudem ausgemacht, dass es in Smart Homes eine Vielzahl an unterschiedlichen Geräten mit unterschiedlichen Protokollen und Technologien gibt, die zu herkömmlichen Sicherheitssystemen nicht kompatibel sind. Vorwiegend handele es sich hierbei um Drahtlostechnologien wie WLAN, Z-Wave67, Zigbee und Bluetooth. Erschwerend komme hinzu, dass viele Smart-Home-Geräte noch nicht über die Rechen- beziehungsweise Energieleistung verfügten, um Verschlüsselungsalgorithmen oder eine Endpunktauthentifizierung zu unterstützen. Daher seien sie besonders anfällig für Sniffing- oder Man-in-the-Middle-Attacken. Letztere wurden bei ZigBee- und Z-Wave-Protokollen bereits nachgewiesen.

[mit Material von Stefan Beiersmann, ZDNet.de]

 Loading ...