Smart-Home-Geräte unsicher: Hacker können sensible Daten abgreifen

| Redakteur: Michael Eckstein

Zugriff auf sensible Daten: Über den Foto-Upload-Mechanismus von Thea360 waren Mio. Bilder und verknüpfte Anwenderdaten zugänglich.
Zugriff auf sensible Daten: Über den Foto-Upload-Mechanismus von Thea360 waren Mio. Bilder und verknüpfte Anwenderdaten zugänglich. (Bild: vpnmentor.com)

Neue aufgedeckte Sicherheitslecks bei IoT-Endgeräten rücken die Frage nach der Vertrauenswürdigkeit vernetzter Produkte weiter in den Fokus.

Saugroboter, die Wohnungsgrundrisse ausspionieren und Überwachungskameras, die Einbrechern zeigen, ob jemand daheim ist: Neue Sicherheitslücken zeigen, wie anfällig manche vernetzte Smart-Home-Geräte sind. Und wie wichtig ein durchdachtes Konzept für die IT-Sicherheit im Internet of Things (IoT) ist.

Staubsauger-Roboter sind mittlerweile in vielen Haushalten intelligente Helfer, die ihre Arbeit unbeaufsichtigt verrichten. Dabei sammeln diese Geräte zum Beispiel mit ihrer Kamera und anderen Sensoren Daten über die Wohnung. Auf Basis dieser Daten können sie einen Grundriss erstellen, an dem sie sich orientieren, um sich autonom durch die Wohnung zu bewegen. Doch Sensoren und Konnektivität, gepaart mit schlechten oder oft sogar fehlenden Sicherheitsvorkehrungen, verleihen diesen Geräten eine große Angriffsfläche. Bereits in der Vergangenheit fanden Sicherheitsforscher der TU Darmstadt Schwachstellen bei einem Modell von Mi Robot, durch die ein schädliches Update eingespielt werden konnte. Auch bezüglich anderer Saugroboter wurden Sicherheitslücken veröffentlicht – bei den Modellen konnten Angreifer die Kontrolle übernehmen oder Kamera und Mikrofon auslesen.

Von der Sicherheitskamera zur Spy-Cam

Nun hat das System Security Lab an der TU Darmstadt, das unter anderem die Sicherheit von IoT-Geräten (Internet of Things) analysiert, weitere Geräte getestet. Erneut fand es erhebliche Sicherheitsprobleme, zum Beispiel beim Saugroboter Tesvor X500. Dieses recht verbreitete Modell im unteren Preissegment ist primär im Online-Handel erhältlich.

Damit nicht genug: Noam Rotem und Ran Locar, nach eigenen Angaben Hacktivisten und Mitarbeiter des auf Datensicherheit spezialisierten Portals vpnmentor.com, haben ein Datenleck im Upload-Mechanismus der Foto-Sharing-Plattform Theta360 entdeckt. Diese wird vom japanischen Hardware-Hersteller Ricoh betrieben und ist unter anderem mit den gleichnamigen 360°-Smart-Home-Vollsphärenkameras gekoppelt. Das Spitzenmodell Theta Z1 kostet in Deutschland rund 1000 € und liefert beeindruckende Rundumaufnahmen.

Über die Sicherheitslücke waren mindestens 11 Mio. Fotos zugänglich, obwohl viele der Anwender die Funktion ihrer Kamera als „privat“ konfiguriert hatten. In vielen Fällen waren Benutzernamen, Vor- und Nachnamen, UUID (Universal Unique Identifier) jedes Fotos und die in die externe Datenbank geschriebenen Beschriftungen einsehbar. „Ein direkter Zugriff auf die verknüpften Social-Media-Kontos der Nutzer bestand über die Theta360-Systeme allerdings nicht“, schränken die Autoren ein. Diesen Zusammenhang konnten sie jedoch mithilfe der UUID über die Suchmaschine Elasticsearch herstellen. Vorbildlich war die Reaktion des Herstellers: Innerhalb eines Tages, nachdem Rotem und Locar die Schwachstelle gemeldet hatten, hatten die Theta360-Verantwortlichen diese geschlossen.

Saugroboter gibt Grundriss preis und lässt sich fernsteuern

Im Fall des Saugroboters erlaubt es die aufgedeckte Sicherheitslücke einem Angreifer, aus der Ferne und überall auf der Welt beliebige Tesvor Saug- und Wischroboter anzusteuern und deren Status und den Grundriss der Wohnung abzurufen. Dazu muss vom Staubsauger-Roboter nichts weiter bekannt sein als die sogenannte MAC-Adresse: Über die Zahlenfolge ist ein elektronisches Gerät eindeutig identifizierbar. Die MAC-Adresse ist kein Sicherheitsmerkmal, ein Angreifer kann sie mithilfe bekannter Techniken leicht herausfinden.

Die Tesvor Saug- und Wischroboter nutzen als Back-End „Amazon Web Services (AWS) Internet of Things (IoT)“. Die App, mit der der Staubsauger gesteuert wird, verwendet als Authentifikation für die Steuerungsberechtigung nur die genannte MAC-Adresse. Der Angriff nutzt aus, dass MAC-Adressen in Folge vergeben werden und der Hersteller sonst keine weiteren Sicherheitsmaßnahmen (Zugriffsbeschränkung oder Ähnliches) einsetzt. Der potentielle Angreifer muss nur MAC-Adressen aus dem Adressbereich des Herstellers der Reihe nach bis zum „Treffer“ durchprobieren.

Auslieferung ohne Sicherheitszertifikat

Ein weiteres Sicherheitsproblem entsteht durch die Handhabung der Zertifikate durch den Hersteller. Normalerweise benutzt AWS IoT Zertifikate, um die Authentizität und Vertraulichkeit in der Kommunikation zwischen Gerät und Cloud sicherzustellen. Diese Zertifikate sollen bei der Produktion vom Hersteller auf das Gerät geladen werden, damit das Gerät sofort bei Einrichtung eine geschützte Verbindung aufbauen kann.

Tesvor liefert seine Geräte jedoch ohne Zertifikat aus. Sie fragen bei erstmaliger Aktivierung den Herstellerserver nach dem Zertifikat an, um sich danach mit AWS IoT zu verbinden. Dieser Zertifikatsaustausch ist nicht authentifiziert. Somit wird eine sogenannte Man-in-the-Middle-Attacke möglich, wodurch das Zertifikat quasi von einem Mithörer zwischen Roboter und Server „in der Mitte“ abgefangen werden kann. Der Angreifer kann dann die geschützte Verbindung zwischen Gerät und Cloud mitlesen, verändern oder sich als Gerät ausgeben. Des Weiteren könnte er selber Zertifikate vom Hersteller abfragen und sich damit als neues Gerät ausgeben.

Nach eigenen Angaben haben die TU-Forscher den Gerätehersteller mehrfach schriftlich auf die gravierenden Sicherheitsprobleme hingewiesen. Auf eine Reaktion warten sie noch immer.

TÜV für IoT-Sicherheit gefordert

TÜV für IoT-Sicherheit gefordert

04.04.19 - Das Internet der Dinge (IoT) ist im Vormarsch. Immer mehr Maschinen sind bereits untereinander vernetzt. Doch mit dem technologischen Fortschritt steigt auch die Verwundbarkeit durch Cyberangriffe. Der TÜV-Verband fordert daher mehr Informationssicherheit von Produkten und Anlagen. lesen

IoT und Datenschutz – diese Besonderheiten sind zu beachten

IoT und Datenschutz – diese Besonderheiten sind zu beachten

26.03.19 - Das Internet der Dinge birgt viele Risiken für den Schutz personenbezogener Daten, so das Fazit vieler Umfragen und Studien. Doch warum ist das eigentlich so? Was macht den Datenschutz in IoT-Lösungen besonders schwierig? Das sollten Anwenderunternehmen wissen, um eine Datenschutzfolgenabschätzung (DSFA) nach Datenschutz-Grundverordnung (DSGVO) erstellen zu können. lesen

IoT-Start-ups gesucht: Neues Gründerzentrum fördert innovative IT-Security-Ideen

IoT-Start-ups gesucht: Neues Gründerzentrum fördert innovative IT-Security-Ideen

13.02.19 - Ein neues, von der IAR Systems Group gefördertes Gründerzentrum im schwedischen Stockholm will innovativen, im Bereich IoT-Security aktiven jungen Firmen unter die Arme greifen – nicht ganz uneigennützig. lesen

Kommentar zu diesem Artikel abgeben
Mein Verdacht: Angesichts eines zunehmenden Ausmaßes agiler Entwicklungsmethoden in der...  lesen
posted am 03.06.2019 um 07:00 von Olaf Barheine


Mitdiskutieren
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 45954965 / Safety & Security)