Securityforscher wollen eine ungesicherte Datenbank mit Logeinträgen für Produkte des Anbieters Orvibo gefunden haben. Angreifer hätten darüber Nutzer ausspionieren und mit smarten Schlössern gesicherte Türen öffnen können.
Die ORVIBO Technology Co., Ltd (Orvibo) ist ein chinesischer Ausrüster für Smart Homes. Dessen Produkte sind beispielsweise über Amazon auch in Deutschland verfügbar und waren bis vor kurzem anscheinend besonders leicht zu hacken. Das legt ein Bericht des VPN-Vergleichsportals vpnMentor nahe. Dessen von Noam Rotem und Ran Locar geführtes Sicherheitsteam hatte demnach eine frei zugängliche Datenbank ausfindig gemacht. Darin gespeichert: Über zwei Milliarden Logeinträge, darunter auch E-Mails, Familiennamen und genaue Positionsdaten der jeweiligen Geräte. Die Logs beinhalteten dabei Daten zu weltweit verteilten Systemen, für Europa verweist man konkret auf Einträge zu Frankreich und Vereinigtem Königreich.
Feindliche Kontoübernahme möglich
Neben den per MD5-gehashten (ohne Salt) Passwörtern fanden sich in der Datenbank zudem Reset-Codes, mit denen sich Zugangsdaten komplett zurücksetzen ließen. Angreifer hätten auf diesem Wege auch die ursprünglichen Kontaktdaten sowie Passwörter ändern und komplette Konten dauerhaft übernehmen können.
Vielfältiges Missbrauchspotenzial
Das Missbrauchspotential war vielfältig und nicht auf private Anwender beschränkt. Laut vpnMentor werden Orvibos Produkte auch in Hotels und Büros eingesetzt. Dort hätten Unbefugte einerseits verschiedenste Daten zu Nutzern sammeln und verknüpfen können. So fanden sich in dem Log etwa transkribierte Tonaufnahmen, die von einer smarten Kamera aufgezeichnet wurden. Die Daten eines Spiegels mit Anzeigefunktion ließen überdies Rückschlüsse auf den Kalender des jeweiligen Nutzers zu. Dank der Positionsdaten ließen sich die Geräte zudem verorten.
Damit nicht genug, hätten Angreifer übernommene Geräte auch steuern können. Über vernetzte Steckdosen ließen sich so der Stromverbrauch in die Höhe treiben oder angeschlossene Geräte durch Dauerbetrieb sowie unnötige Schaltvorgänge überlasten oder beschädigen. Zudem konnten Unbefugte womöglich vernetzte Türschlösser öffnen – die zugehörigen Wohnungen ließen sich über die Positionsdaten der Logs ausfindig machen. Auch die Übernahme von WLAN- und ZigBee-Controllern wäre denkbar gewesen.
Orvibo reagiert erst nach über zwei Wochen
Entdeckt wurde die Schwachstelle im Rahmen des Web-Mapping-Projektes, bei dem vpnMentor die Ports für bekannte IP-Blöcke auskundschaftet. Zuerst habe man Orvibo am 16. Juni von der Schwachstelle in Kenntnis gesetzt; nachdem der Anbieter weder antwortete noch den Datenbankserver vom Netz genommen hatte, schob man Anfang Juli noch eine Nachricht auf Twitter nach.
Und auf die reagierte Orvibo am 2. Juli schließlich mit einem Antworttweet. Dem zufolge habe man den Verschlüsselungsmechanismus für Passwörter sowie die Reset-Funktion überarbeitet. Künftig wolle man zudem enger mit Sicherheitsanbietern kooperieren.
VpnMentor bestätigte darauf, dass der fragliche Server mit den Logdaten nicht mehr online sei.
Autor: Dirk Srocke
(c)2019
Vogel Communications Group
Bitte beachten Sie
Die Beiträge in der Rubrik "Trends und Innovationen" sind Inhalte unseres Medienpartners Vogel Communications Group GmbH & Co. KG. Sie spiegeln nicht unbedingt die Meinung von DATEV wider.
Vogel Communications Group
