"Smarte" Steckdose macht letztlich nur den Angreifer schlauer

Die Sicherheitsexperten von BitDefender haben ein weiteres Bauteil des so genannten "Smart Homes" kräftig auseinandergenommen. Das fragliche Produkt, das stellvertretend für viele andere Geräte dieser Art steht, macht letztlich nur einen schlauer: Den dankbaren Kriminellen.

"Smarte" Steckdose
Bei dem untersuchten Gerät handelt es sich um einen so genannten "Smart Socket" - also eine Steckdose, die sich über ein Netzwerk fernsteuern lässt. Sie kann zwischen die normale Stromversorgung und angeschlossene Geräte gehängt werden und erlaubt es, die durchgeleitete Energiemenge zu beschränken oder die Stromversorgung automatisch nur zu bestimmten Zeiten anzustellen. Mit den dafür benötigten Informationen wird das System per WLAN vom Smartphone aus versorgt.

Als die BitDefender-Mitarbeiter das Gerät analysierten, sprangen ihnen gleich diverse Sicherheitsprobleme ins Auge. So meldet sich das Produkt nach der Inbetriebnahme beispielsweise beim Cloud-Dienst des Herstellers an - das ist auch nötig, damit die Konfiguration über die Smartphone-App funktioniert. Etwas unnötig ist hingegen, dass Informationen über das Gerät selbst und die Netzwerkanbindung unverschlüsselt übermittelt werden, so dass ein Angreifer Informationen über die lokale Infrastruktur bekommt.

Kontrolle übernehmen leicht gemacht

Die Kommunikation zwischen der App und dem Cloud-Dienst erfolgt zwar nicht im Klartext, wird aber auch nicht durch ein bewährtes Verschlüsselungsverfahren geschützt. Hier kommt lediglich eine einfach Kodierung zum Einsatz, deren Funktionsweise recht bekannt ist und die sich daher problemlos zurückübersetzen lässt.

Eines der Features der smarten Steckdose besteht darin, dass der Besitzer per E-Mail informiert werden kann, wenn bestimmte Aufgaben durchgeführt wurden. Hier erfolgt der Versand dann aber aus irgendeinem Grund nicht über den ohnehin angeschlossenen Cloud-Dienst, sondern der Anwender soll dem Gerät Zugriff auf den eigenen E-Mail-Account geben, damit die Nachricht über diesen verschickt werden kann. Die Login-Daten werden dabei mit ungenügendem Schutz gespeichert und können von Angreifern problemlos ausgelesen werden.

Und in die Geräte hinein kommt man meist mit überschaubarem Aufwand. Denn bei den meisten Nutzern dürften schon die standardmäßig eingestellten Login-Daten nie geändert werden. Sollte dies doch geschehen sein, kann die Zugangssperre über eine kleine Code-Injektion ausgehebelt werden, womit dann ebenso das gesamte Gerät unter Kontrolle wäre. Um welches Produkt es sich hier konkret handelte, hat BitDefender noch nicht veröffentlicht. Denn der Hersteller hat sich noch etwas Zeit erbeten, die gröbsten Probleme mit einem Firmware-Update zu beheben. Man sollte sich aber in jedem Fall hüten, wichtige Stromabnehmer an ein solches System anzuschließen.
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Folgt uns auf Twitter
WinFuture bei Twitter
Interessante Artikel & Testberichte
WinFuture wird gehostet von Artfiles
Tipp einsenden
❤ WinFuture unterstützen
Sie wollen online einkaufen? Dann nutzen Sie bitte einen der folgenden Links, um WinFuture zu unterstützen: Vielen Dank!