Forscher warnen vor Sicherheitslücken in Smart-Home-Produkten von Belkin [Update]

Der Sicherheitsanbieter IOActive hat darauf hingewiesen, dass mehr als 500.000 Smart-Home-Geräte der Produktreihe WeMo von Belkin anfällig für Hackerangriffe sind. Gleich mehrere Sicherheitslücken sollen einen nicht autorisierten Zugriff auf Heimnetzwerke und die Steuerung der mit den intelligenten Steckdosen verbundenen Haushaltsgeräte erlauben. [Update] Der Hersteller hat die Sicherheitsprobleme mit aktualisierten Firmwares inzwischen behoben.

Nach Angaben der Sicherheitsexperten könnte ein Hacker eine speziell präparierte Firmware einschleusen und auf den auch in Deutschland erhältlichen WeMo-Produkten installieren. Den für die Signierung der falschen Firmware benötigten Schlüssel entnahmen die Sicherheitsforscher dem Original-Firmware-Image von Belkin. Dies sei aufgrund einer fehlerhaften Implementierung des verwendeten Kryptografiesystems GNU Privacy Guard (GPG) möglich.

Zwar verschlüsselt Belkin bei einem Firmware-Update den Datenverkehr zwischen seinen Servern und den WeMo-Geräten. Allerdings prüft es nicht die Gültigkeit des verwendeten SSL-Zertifikats, weshalb ein beliebiges Zertifikat für die Übertragung einer Firmware-Datei genutzt werden kann.

Nach der Installation der neuen Firmware sei es den Angreifern möglich, an die Steckdosen angeschlossene Geräte über das Internet ein- und auszuschalten. Das könne zu Fehlfunktionen und sogar Bränden führen, warnt IOActive. „Außerdem kann eine Steckdose, sobald ein Angreifer eine Verbindung zu einem WeMo-Gerät im Netzwerk des Opfers hergestellt hat, als Ausgangspunkt für Angriffe auf weitere Geräte wie Laptops, Mobiltelefone und Netzwerkspeicher genutzt werden“, heißt es in einer Pressemitteilung.

IOActive rät allen betroffen Nutzern, bis zur Veröffentlichung eines Patches durch Belkin alle WeMo-Geräte vom Stromnetz zu trennen. Die Sicherheitswarnung habe man zusammen mit dem US-CERT veröffentlicht, da Belkin auf mehrere Kontaktversuche nicht reagiert habe.

„Wenn wir unser Zuhause mit dem Internet verbinden, wird es immer wichtiger, dass Anbieter von „Internet der Dinge“-Geräten sicherstellen, dass schon am Anfang der Produktentwicklung vernünftige Sicherheitsmethoden angewendet werden“, sagte Mike Davis, Principal Research Scientist bei IOActive. „Das vermindert das Risiko ihrer Kunden. Ein weiteres Problem ist, dass die WeMo-Geräte auch Bewegungssensoren besitzen, die ein Angreifer nutzen kann, um aus der Ferne festzustellen, ob jemand zu Hause ist.“

Update 11:58 Uhr:

Wie Belkin ZDNet.de mitgeteilt hat, stehen für die fraglichen Geräte seit wenigen Stunden aktualisierte Firmwares zur Verfügung, die die Sicherheitsprobleme beheben. Nutzer haben eine In-App-Mitteilung über die Firmware-Updates erhalten. Diese sollten aber nur mit den aktuellen Anwendungen  aus den jweiligen App Stores aktualisiert werden. Nicht betroffen von den genannten Sicherheitslücken sind Geräte, die mit der Firmware 3949 arbeiten.

[mit Material von Dara Kerr, News.com]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

2 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

3 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

3 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

3 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

4 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

5 Tagen ago