Forscher warnen vor Sicherheitslücken in Smart-Home-Produkten von Belkin [Update]

Der Sicherheitsanbieter IOActive hat darauf hingewiesen, dass mehr als 500.000 Smart-Home-Geräte der Produktreihe WeMo von Belkin anfällig für Hackerangriffe sind. Gleich mehrere Sicherheitslücken sollen einen nicht autorisierten Zugriff auf Heimnetzwerke und die Steuerung der mit den intelligenten Steckdosen verbundenen Haushaltsgeräte erlauben. [Update] Der Hersteller hat die Sicherheitsprobleme mit aktualisierten Firmwares inzwischen behoben.

Nach Angaben der Sicherheitsexperten könnte ein Hacker eine speziell präparierte Firmware einschleusen und auf den auch in Deutschland erhältlichen WeMo-Produkten installieren. Den für die Signierung der falschen Firmware benötigten Schlüssel entnahmen die Sicherheitsforscher dem Original-Firmware-Image von Belkin. Dies sei aufgrund einer fehlerhaften Implementierung des verwendeten Kryptografiesystems GNU Privacy Guard (GPG) möglich.

Zwar verschlüsselt Belkin bei einem Firmware-Update den Datenverkehr zwischen seinen Servern und den WeMo-Geräten. Allerdings prüft es nicht die Gültigkeit des verwendeten SSL-Zertifikats, weshalb ein beliebiges Zertifikat für die Übertragung einer Firmware-Datei genutzt werden kann.

Nach der Installation der neuen Firmware sei es den Angreifern möglich, an die Steckdosen angeschlossene Geräte über das Internet ein- und auszuschalten. Das könne zu Fehlfunktionen und sogar Bränden führen, warnt IOActive. „Außerdem kann eine Steckdose, sobald ein Angreifer eine Verbindung zu einem WeMo-Gerät im Netzwerk des Opfers hergestellt hat, als Ausgangspunkt für Angriffe auf weitere Geräte wie Laptops, Mobiltelefone und Netzwerkspeicher genutzt werden“, heißt es in einer Pressemitteilung.

IOActive rät allen betroffen Nutzern, bis zur Veröffentlichung eines Patches durch Belkin alle WeMo-Geräte vom Stromnetz zu trennen. Die Sicherheitswarnung habe man zusammen mit dem US-CERT veröffentlicht, da Belkin auf mehrere Kontaktversuche nicht reagiert habe.

„Wenn wir unser Zuhause mit dem Internet verbinden, wird es immer wichtiger, dass Anbieter von „Internet der Dinge“-Geräten sicherstellen, dass schon am Anfang der Produktentwicklung vernünftige Sicherheitsmethoden angewendet werden“, sagte Mike Davis, Principal Research Scientist bei IOActive. „Das vermindert das Risiko ihrer Kunden. Ein weiteres Problem ist, dass die WeMo-Geräte auch Bewegungssensoren besitzen, die ein Angreifer nutzen kann, um aus der Ferne festzustellen, ob jemand zu Hause ist.“

Update 11:58 Uhr:

Wie Belkin ZDNet.de mitgeteilt hat, stehen für die fraglichen Geräte seit wenigen Stunden aktualisierte Firmwares zur Verfügung, die die Sicherheitsprobleme beheben. Nutzer haben eine In-App-Mitteilung über die Firmware-Updates erhalten. Diese sollten aber nur mit den aktuellen Anwendungen  aus den jweiligen App Stores aktualisiert werden. Nicht betroffen von den genannten Sicherheitslücken sind Geräte, die mit der Firmware 3949 arbeiten.

[mit Material von Dara Kerr, News.com]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de