"Smarte" Steckdose macht letztlich nur den Angreifer schlauer
Bei dem untersuchten Gerät handelt es sich um einen so genannten "Smart Socket" - also eine Steckdose, die sich über ein Netzwerk fernsteuern lässt. Sie kann zwischen die normale Stromversorgung und angeschlossene Geräte gehängt werden und erlaubt es, die durchgeleitete Energiemenge zu beschränken oder die Stromversorgung automatisch nur zu bestimmten Zeiten anzustellen. Mit den dafür benötigten Informationen wird das System per WLAN vom Smartphone aus versorgt.
Als die BitDefender-Mitarbeiter das Gerät analysierten, sprangen ihnen gleich diverse Sicherheitsprobleme ins Auge. So meldet sich das Produkt nach der Inbetriebnahme beispielsweise beim Cloud-Dienst des Herstellers an - das ist auch nötig, damit die Konfiguration über die Smartphone-App funktioniert. Etwas unnötig ist hingegen, dass Informationen über das Gerät selbst und die Netzwerkanbindung unverschlüsselt übermittelt werden, so dass ein Angreifer Informationen über die lokale Infrastruktur bekommt.
Kontrolle übernehmen leicht gemacht
Die Kommunikation zwischen der App und dem Cloud-Dienst erfolgt zwar nicht im Klartext, wird aber auch nicht durch ein bewährtes Verschlüsselungsverfahren geschützt. Hier kommt lediglich eine einfach Kodierung zum Einsatz, deren Funktionsweise recht bekannt ist und die sich daher problemlos zurückübersetzen lässt.Eines der Features der smarten Steckdose besteht darin, dass der Besitzer per E-Mail informiert werden kann, wenn bestimmte Aufgaben durchgeführt wurden. Hier erfolgt der Versand dann aber aus irgendeinem Grund nicht über den ohnehin angeschlossenen Cloud-Dienst, sondern der Anwender soll dem Gerät Zugriff auf den eigenen E-Mail-Account geben, damit die Nachricht über diesen verschickt werden kann. Die Login-Daten werden dabei mit ungenügendem Schutz gespeichert und können von Angreifern problemlos ausgelesen werden.
Und in die Geräte hinein kommt man meist mit überschaubarem Aufwand. Denn bei den meisten Nutzern dürften schon die standardmäßig eingestellten Login-Daten nie geändert werden. Sollte dies doch geschehen sein, kann die Zugangssperre über eine kleine Code-Injektion ausgehebelt werden, womit dann ebenso das gesamte Gerät unter Kontrolle wäre. Um welches Produkt es sich hier konkret handelte, hat BitDefender noch nicht veröffentlicht. Denn der Hersteller hat sich noch etwas Zeit erbeten, die gröbsten Probleme mit einem Firmware-Update zu beheben. Man sollte sich aber in jedem Fall hüten, wichtige Stromabnehmer an ein solches System anzuschließen.
Thema:
Neueste Downloads
Beliebt im Preisvergleich
- Sicherheit & Backup:
Neue Nachrichten
Beliebte Nachrichten
Videos
Christian Kahle
Redakteur bei WinFuture
Ich empfehle ...
Meist kommentierte Nachrichten
Forum
-
10 oder 11?
Doodle - Gestern 19:22 Uhr -
Win 10 neu aufsetzen mit altem Key
Doodle - Gestern 13:02 Uhr -
Winfuture.de - Song Of The Day Pt. 4
Reteibeg - Gestern 12:03 Uhr -
marimo: open-source reactive notebook für Python (wie Jupyter NB)
el_pelajo - Gestern 11:37 Uhr -
Windows 11 Start Problem
Reteibeg - Gestern 11:34 Uhr
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Alle Kommentare zu dieser News anzeigen