Neue aufgedeckte Sicherheitslecks bei IoT-Endgeräten (Internet of Things) rücken die Frage nach der Vertrauenswürdigkeit vernetzter Produkte weiter in den Fokus.
Saugroboter, die Wohnungsgrundrisse ausspionieren und Überwachungskameras, die Einbrechern zeigen, ob jemand daheim ist: Neue Sicherheitslücken zeigen, wie anfällig manche vernetzte Smart-Home-Geräte sind. Und wie wichtig ein durchdachtes Konzept für die IT-Sicherheit im Internet of Things (IoT) ist.
Staubsauger-Roboter sind mittlerweile in vielen Haushalten intelligente Helfer, die ihre Arbeit unbeaufsichtigt verrichten. Dabei sammeln diese Geräte zum Beispiel mit ihrer Kamera und anderen Sensoren Daten über die Wohnung. Auf Basis dieser Daten können sie einen Grundriss erstellen, an dem sie sich orientieren, um sich autonom durch die Wohnung zu bewegen. Doch Sensoren und Konnektivität, gepaart mit schlechten oder oft sogar fehlenden Sicherheitsvorkehrungen, verleihen diesen Geräten eine große Angriffsfläche. Bereits in der Vergangenheit fanden Sicherheitsforscher der TU Darmstadt Schwachstellen bei einem Modell von Mi Robot, durch die ein schädliches Update eingespielt werden konnte. Auch bezüglich anderer Saugroboter wurden Sicherheitslücken veröffentlicht – bei den Modellen konnten Angreifer die Kontrolle übernehmen oder Kamera und Mikrofon auslesen.
Von der Sicherheitskamera zur Spy-Cam
Nun hat das System Security Lab an der TU Darmstadt, das unter anderem die Sicherheit von IoT-Geräten (Internet of Things) analysiert, weitere Geräte getestet. Erneut fand es erhebliche Sicherheitsprobleme, zum Beispiel beim Saugroboter Tesvor X500. Dieses recht verbreitete Modell im unteren Preissegment ist primär im Online-Handel erhältlich.
Damit nicht genug: Noam Rotem und Ran Locar, nach eigenen Angaben Hacktivisten und Mitarbeiter des auf Datensicherheit spezialisierten Portals vpnmentor.com, haben ein Datenleck im Upload-Mechanismus der Foto-Sharing-Plattform Theta360 entdeckt. Diese wird vom japanischen Hardware-Hersteller Ricoh betrieben und ist unter anderem mit den gleichnamigen 360°-Smart-Home-Vollsphärenkameras gekoppelt. Das Spitzenmodell Theta Z1 kostet in Deutschland rund 1000 ? und liefert beeindruckende Rundumaufnahmen.
Über die Sicherheitslücke waren mindestens 11 Mio. Fotos zugänglich, obwohl viele der Anwender die Funktion ihrer Kamera als „privat“ konfiguriert hatten. In vielen Fällen waren Benutzernamen, Vor- und Nachnamen, UUID (Universal Unique Identifier) jedes Fotos und die in die externe Datenbank geschriebenen Beschriftungen einsehbar. „Ein direkter Zugriff auf die verknüpften Social-Media-Kontos der Nutzer bestand über die Theta360-Systeme allerdings nicht“, schränken die Autoren ein. Diesen Zusammenhang konnten sie jedoch mithilfe der UUID über die Suchmaschine Elasticsearch herstellen. Vorbildlich war die Reaktion des Herstellers: Innerhalb eines Tages, nachdem Rotem und Locar die Schwachstelle gemeldet hatten, hatten die Theta360-Verantwortlichen diese geschlossen.
Saugroboter gibt Grundriss preis und lässt sich fernsteuern
Im Fall des Saugroboters erlaubt es die aufgedeckte Sicherheitslücke einem Angreifer, aus der Ferne und überall auf der Welt beliebige Tesvor Saug- und Wischroboter anzusteuern und deren Status und den Grundriss der Wohnung abzurufen. Dazu muss vom Staubsauger-Roboter nichts weiter bekannt sein als die sogenannte MAC-Adresse: Über die Zahlenfolge ist ein elektronisches Gerät eindeutig identifizierbar. Die MAC-Adresse ist kein Sicherheitsmerkmal, ein Angreifer kann sie mithilfe bekannter Techniken leicht herausfinden.
Die Tesvor Saug- und Wischroboter nutzen als Back-End „Amazon Web Services (AWS) Internet of Things (IoT)“. Die App, mit der der Staubsauger gesteuert wird, verwendet als Authentifikation für die Steuerungsberechtigung nur die genannte MAC-Adresse. Der Angriff nutzt aus, dass MAC-Adressen in Folge vergeben werden und der Hersteller sonst keine weiteren Sicherheitsmaßnahmen (Zugriffsbeschränkung oder Ähnliches) einsetzt. Der potentielle Angreifer muss nur MAC-Adressen aus dem Adressbereich des Herstellers der Reihe nach bis zum „Treffer“ durchprobieren.
Auslieferung ohne Sicherheitszertifikat
Ein weiteres Sicherheitsproblem entsteht durch die Handhabung der Zertifikate durch den Hersteller. Normalerweise benutzt AWS IoT Zertifikate, um die Authentizität und Vertraulichkeit in der Kommunikation zwischen Gerät und Cloud sicherzustellen. Diese Zertifikate sollen bei der Produktion vom Hersteller auf das Gerät geladen werden, damit das Gerät sofort bei Einrichtung eine geschützte Verbindung aufbauen kann.
Tesvor liefert seine Geräte jedoch ohne Zertifikat aus. Sie fragen bei erstmaliger Aktivierung den Herstellerserver nach dem Zertifikat an, um sich danach mit AWS IoT zu verbinden. Dieser Zertifikatsaustausch ist nicht authentifiziert. Somit wird eine sogenannte Man-in-the-Middle-Attacke möglich, wodurch das Zertifikat quasi von einem Mithörer zwischen Roboter und Server „in der Mitte“ abgefangen werden kann. Der Angreifer kann dann die geschützte Verbindung zwischen Gerät und Cloud mitlesen, verändern oder sich als Gerät ausgeben. Des Weiteren könnte er selber Zertifikate vom Hersteller abfragen und sich damit als neues Gerät ausgeben.
Nach eigenen Angaben haben die TU-Forscher den Gerätehersteller mehrfach schriftlich auf die gravierenden Sicherheitsprobleme hingewiesen. Auf eine Reaktion warten sie noch immer.
Autor: Michael Eckstein
(c)2019
Vogel Communications Group
Bitte beachten Sie
Die Beiträge in der Rubrik "Trends und Innovationen" sind Inhalte unseres Medienpartners Vogel Communications Group GmbH & Co. KG. Sie spiegeln nicht unbedingt die Meinung von DATEV wider.
Vogel Communications Group
