Sicherheitsforscher entdecken Zero-Day-Lücken in gängigen Smart-Home-Hubs

Der Sicherheitsanbieter Tripwire hat die drei auf Amazon meistverkauften Smart-Home-Hubs auf mögliche Sicherheitsrisiken untersucht und dabei in jedem der Produkte Zero-Day-Lücken gefunden. Die Schwachstellen erlauben es Hackern unter Umständen, die Kontrolle über alle Smart-Home-Funktionen der Steuerungszentralen zu übernehmen, wie IT Security Guru berichtet. Die meisten Hersteller haben ihre Geräte inzwischen gepatcht.

Smart-Home-Hubs werden unter anderem benutzt, um Beleuchtung, Heizung und auch Türschlösser und Überwachungskameras zu steuern. Die von Tripwire entdeckten Anfälligkeiten versetzen Unbefugte beispielsweise in die Lage, Türschlösser ohne Authentifizierung zu öffnen, Alarmeinstellungen zu ändern oder sogar auf das lokale Netzwerk zuzugreifen. Smart Hubs lassen sich so aber auch für DDoS-Angriffe nutzen.

„Die Popularität von Smart-Home-Hubs nimmt stetig zu“, sagte Craig Young, Sicherheitsforscher bei Tripwire, im Gespräch mit IT Security Guru. „Wie bei vielen Consumer-Technologien hat die Funktionalität jedoch die Sicherheit übertrumpft. Smart-Home-Hubs geben Nutzern die Kontrolle über internetfähige Geräte in ihrem Haus, aber sie öffnen auch neue Türen für Kriminelle. Derzeit ist die Gefahr noch relativ gering, sie wird aber zunehmen, sobald Kriminelle erkennen, wie viele Informationen sie bei Angriffen auf diese Geräte erhalten können.“

Lamar Bailey, Director of Research and Development bei Tripwire, warnt dem Bericht zufolge aber auch vor konkreten Schäden, die Angriffe auf Smart-Home-Hubs auslösen könnten. „Ein Angreifer könnte in einer kalten Nacht die Heizung abschalten, während die Familie schläft, oder noch schlimmer, wenn die Familie über das Wochenende weg ist, was zu einem Einfrieren und Platzen der Rohre führt.“

Zwei der drei betroffenen Anbieter hätten ihre Produkte inzwischen abgesichert. Die von Tripwire gemeldeten Schwachstellen ließen sich unter anderem mithilfe von gefährlichen Websites oder Smartphone-Anwendungen ausnutzen. Sie erlaubten Angreifern Befehle auf Systemebene auszuführen, heißt es weiter in dem Bericht.

„Für eine Remotecodeausführung anfällige Smart-Home-Hubs erlauben es einem Angreifer, von einem kompromittierten Computer aus auf einen Hub zuzugreifen und sich im Netzwerk zu verstecken“, ergänzte Tyler Reguly, Manager of Security Research bei Tripwire. Eine Cross-Site-Request-Forgery erlaube es sogar, die Einstellungen eines Geräts bei jedem Zugriff auf das Web zu manipulieren. „Die Risiken sind nicht von der Hand zu weisen und die Eintrittspunkte zahlreich. Hersteller müssen regelmäßig Updates bereitstellen und Verbraucher müssen die Risiken erkennen und die Patches anwenden.“