Zahl oder frier: Thermostate können per Ransomware gekapert werden

"Smart Home" ist eines der ganz großen Stichworte der jüngsten Zeit, die Anbieter versuchen unter dem Stichwort "Internet der Dinge" alle bisher "dummen" Geräte per Vernetzung intelligenter zu machen. Besonders beliebt sind auch Thermostate, die man u. a. von der Ferne aus bedienen kann. Wie nun auf einer Sicherheitskonferenz gezeigt wurde, ist das aber nicht ohne Gefahren.
Thermostat, Nest, Nest Learning Thermostat
Nest
Smarte Thermostate wie das von Google bzw. Alphabet vor einer Weile aufgekaufte Nest sind eine praktische Sache. Eine derartige Temperatursteuerung funktioniert "intelligent" und lernt gewissermaßen dazu, Nest etwa passt sich automatisch an die Gewohnheiten des Nutzers sowie die jahreszeitlichen Besonderheiten an. Überdies kann ein solches System per Smartphone-App aus der Ferne gesteuert werden.

Theoretisches Szenario

Doch auf der bekannten Hacker-Konferenz Defcon haben Sicherheitsexperten demonstriert, wie man solche smarten Heimgeräte kapern kann und auf sie so genannte Ransomware, also erpresserische Software, aufspielen kann. Das bedeutet, dass Hacker - theoretisch - in der Lage sind, die Temperatureinstellung zu kapern und für die Freigabe Geld zu verlangen, ganz nach dem Motto: "Zahle uns ein Bitcoin, wenn du im Winter mehr als 0 Grad Celsius haben willst." Nest Learning Thermostat'Smarte' Thermostate (hier: Nest) können - therotisch - von Hackern übernommen werden Wie Motherboard berichtet, haben die Entdecker dieser Angriffsvariante, Andrew Tierney und Ken Munro, bei der auf der Defcon in Las Vegas demonstrierten Methode keine bösen Absichten, sondern wollen damit darauf aufmerksam machen, dass es in IoT-Anwendungen und -Szenarien noch so manche Lücke gibt.

Es ist also - ganz typisch für solche Konferenzen - eine Machbarkeitsstudie ("Proof of Concept"), die den Herstellern zu denken geben soll. Tierney und Munro haben einen derartigen Angriff auch live demonstriert, wollten aber nicht verraten, um welchen Hersteller oder welches Modell es sich handelt, da man den Anbieter noch nicht ausreichend über den ausgenutzten Bug in Kenntnis setzen konnte.

Beim besagten Fehler handelt es sich um die Möglichkeit, per SD-Karte auf das Display eigene Hintergründe aufspielen zu können. Dabei wird aber nicht überprüft, welche Dateien ausgeführt werden, was man theoretisch für Malware ausnützen kann. Dabei geben Tierney und Munro zu, dass eine derartige Attacke nicht leicht durchzuführen sei, da man den Nutzer dazu bringen muss, vor Ort eine manipulierte Datei aufzuspielen. Unmöglich sei das aber auch nicht, da man sie beispielsweise über eine (gefälschte) Hersteller-Nachricht täuschen könnte.
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Jetzt als Amazon Blitzangebot
Folgt uns auf Twitter
WinFuture bei Twitter
Interessante Artikel & Testberichte
WinFuture wird gehostet von Artfiles
Tipp einsenden
❤ WinFuture unterstützen
Sie wollen online einkaufen? Dann nutzen Sie bitte einen der folgenden Links, um WinFuture zu unterstützen: Vielen Dank!