"Smarte" Steckdose macht letztlich nur den Angreifer schlauer

Sicherheit, Sicherheitslücken, schloss, Abus, Kette Bildquelle: John Dierckx / Flickr
Die Sicherheitsexperten von BitDefender haben ein weiteres Bauteil des so genannten "Smart Homes" kräftig auseinandergenommen. Das fragliche Produkt, das stellvertretend für viele andere Geräte dieser Art steht, macht letztlich nur einen schlauer: Den dankbaren Kriminellen.

"Smarte" Steckdose
Bei dem untersuchten Gerät handelt es sich um einen so genannten "Smart Socket" - also eine Steckdose, die sich über ein Netzwerk fernsteuern lässt. Sie kann zwischen die normale Stromversorgung und angeschlossene Geräte gehängt werden und erlaubt es, die durchgeleitete Energiemenge zu beschränken oder die Stromversorgung automatisch nur zu bestimmten Zeiten anzustellen. Mit den dafür benötigten Informationen wird das System per WLAN vom Smartphone aus versorgt.

Als die BitDefender-Mitarbeiter das Gerät analysierten, sprangen ihnen gleich diverse Sicherheitsprobleme ins Auge. So meldet sich das Produkt nach der Inbetriebnahme beispielsweise beim Cloud-Dienst des Herstellers an - das ist auch nötig, damit die Konfiguration über die Smartphone-App funktioniert. Etwas unnötig ist hingegen, dass Informationen über das Gerät selbst und die Netzwerkanbindung unverschlüsselt übermittelt werden, so dass ein Angreifer Informationen über die lokale Infrastruktur bekommt.

Kontrolle übernehmen leicht gemacht

Die Kommunikation zwischen der App und dem Cloud-Dienst erfolgt zwar nicht im Klartext, wird aber auch nicht durch ein bewährtes Verschlüsselungsverfahren geschützt. Hier kommt lediglich eine einfach Kodierung zum Einsatz, deren Funktionsweise recht bekannt ist und die sich daher problemlos zurückübersetzen lässt.

Eines der Features der smarten Steckdose besteht darin, dass der Besitzer per E-Mail informiert werden kann, wenn bestimmte Aufgaben durchgeführt wurden. Hier erfolgt der Versand dann aber aus irgendeinem Grund nicht über den ohnehin angeschlossenen Cloud-Dienst, sondern der Anwender soll dem Gerät Zugriff auf den eigenen E-Mail-Account geben, damit die Nachricht über diesen verschickt werden kann. Die Login-Daten werden dabei mit ungenügendem Schutz gespeichert und können von Angreifern problemlos ausgelesen werden.

Und in die Geräte hinein kommt man meist mit überschaubarem Aufwand. Denn bei den meisten Nutzern dürften schon die standardmäßig eingestellten Login-Daten nie geändert werden. Sollte dies doch geschehen sein, kann die Zugangssperre über eine kleine Code-Injektion ausgehebelt werden, womit dann ebenso das gesamte Gerät unter Kontrolle wäre. Um welches Produkt es sich hier konkret handelte, hat BitDefender noch nicht veröffentlicht. Denn der Hersteller hat sich noch etwas Zeit erbeten, die gröbsten Probleme mit einem Firmware-Update zu beheben. Man sollte sich aber in jedem Fall hüten, wichtige Stromabnehmer an ein solches System anzuschließen. Sicherheit, Sicherheitslücken, schloss, Abus, Kette Sicherheit, Sicherheitslücken, schloss, Abus, Kette John Dierckx / Flickr
Diese Nachricht empfehlen
Kommentieren20
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!

Jetzt als Amazon Blitzangebot

Ab 00:15 Uhr Microsoft Office 365 Home 5PCs/MACs - 1 Jahresabonnement - multilingual (Product Key Card ohne Datenträger) + WISO steuer:Sparbuch 2017 (für Steuerjahr 2016 / Frustfreie Verpackung)
Microsoft Office 365 Home 5PCs/MACs - 1 Jahresabonnement - multilingual (Product Key Card ohne Datenträger) + WISO steuer:Sparbuch 2017 (für Steuerjahr 2016 / Frustfreie Verpackung)
Original Amazon-Preis
97,98
Im Preisvergleich ab
?
Blitzangebot-Preis
79,98
Ersparnis zu Amazon 18% oder 18
Nur bei Amazon erhältlich

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles

Tipp einsenden