Sicherheitsforscher entdecken Zero-Day-Lücken in gängigen Smart-Home-Hubs

Der Sicherheitsanbieter Tripwire hat die drei auf Amazon meistverkauften Smart-Home-Hubs auf mögliche Sicherheitsrisiken untersucht und dabei in jedem der Produkte Zero-Day-Lücken gefunden. Die Schwachstellen erlauben es Hackern unter Umständen, die Kontrolle über alle Smart-Home-Funktionen der Steuerungszentralen zu übernehmen, wie IT Security Guru berichtet. Die meisten Hersteller haben ihre Geräte inzwischen gepatcht.

Smart-Home-Hubs werden unter anderem benutzt, um Beleuchtung, Heizung und auch Türschlösser und Überwachungskameras zu steuern. Die von Tripwire entdeckten Anfälligkeiten versetzen Unbefugte beispielsweise in die Lage, Türschlösser ohne Authentifizierung zu öffnen, Alarmeinstellungen zu ändern oder sogar auf das lokale Netzwerk zuzugreifen. Smart Hubs lassen sich so aber auch für DDoS-Angriffe nutzen.

„Die Popularität von Smart-Home-Hubs nimmt stetig zu“, sagte Craig Young, Sicherheitsforscher bei Tripwire, im Gespräch mit IT Security Guru. „Wie bei vielen Consumer-Technologien hat die Funktionalität jedoch die Sicherheit übertrumpft. Smart-Home-Hubs geben Nutzern die Kontrolle über internetfähige Geräte in ihrem Haus, aber sie öffnen auch neue Türen für Kriminelle. Derzeit ist die Gefahr noch relativ gering, sie wird aber zunehmen, sobald Kriminelle erkennen, wie viele Informationen sie bei Angriffen auf diese Geräte erhalten können.“

Lamar Bailey, Director of Research and Development bei Tripwire, warnt dem Bericht zufolge aber auch vor konkreten Schäden, die Angriffe auf Smart-Home-Hubs auslösen könnten. „Ein Angreifer könnte in einer kalten Nacht die Heizung abschalten, während die Familie schläft, oder noch schlimmer, wenn die Familie über das Wochenende weg ist, was zu einem Einfrieren und Platzen der Rohre führt.“

Zwei der drei betroffenen Anbieter hätten ihre Produkte inzwischen abgesichert. Die von Tripwire gemeldeten Schwachstellen ließen sich unter anderem mithilfe von gefährlichen Websites oder Smartphone-Anwendungen ausnutzen. Sie erlaubten Angreifern Befehle auf Systemebene auszuführen, heißt es weiter in dem Bericht.

„Für eine Remotecodeausführung anfällige Smart-Home-Hubs erlauben es einem Angreifer, von einem kompromittierten Computer aus auf einen Hub zuzugreifen und sich im Netzwerk zu verstecken“, ergänzte Tyler Reguly, Manager of Security Research bei Tripwire. Eine Cross-Site-Request-Forgery erlaube es sogar, die Einstellungen eines Geräts bei jedem Zugriff auf das Web zu manipulieren. „Die Risiken sind nicht von der Hand zu weisen und die Eintrittspunkte zahlreich. Hersteller müssen regelmäßig Updates bereitstellen und Verbraucher müssen die Risiken erkennen und die Patches anwenden.“

HIGHLIGHT

Samsung Galaxy S6 und S6 Edge im Test

Mit den Galaxy-S6-Smartphones liefert Samsung zwei Android-Geräte, die dank der Sicherheitslösung KNOX besonders gut für den Einsatz in Unternehmen geeignet sind. Dank Gestensteuerung und hervorragender Performance sind sie auch für den Büro-Alltag bestens gewappnet. Auch äußerlich machen die S6-Modelle eine gute Figur.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Bedrohungsindex: Deutliche Zunahme von Infostealern im Oktober

Dazu trägt unter der Infostealer Lumma-Stealer bei. Hierzulande dominiert der Infostealer Formbook die Malware-Landschaft.

13 Stunden ago

Chrome 131 schließt zwölf Sicherheitslücken

Eine schwerwiegende Anfälligkeit hebelt die Sicherheitsfunktion Seitenisolierung auf. Betroffen sind Chrome für Windows, macOS und…

13 Stunden ago

DeepL Voice mit KI für Sprach- übersetzungen

DeepL Voice ermöglicht Live‑Übersetzung von Meetings und Gesprächen in 13 Sprachen.

15 Stunden ago

November-Patchday: Microsoft schließt Zero-Day-Lücken in Windows

Betroffen sind Windows und Windows Server. Microsoft patcht aber auch Schwachstellen in Excel, Word und…

19 Stunden ago

LG zeigt elastisches OLED-Display

Es lässt sich um bis zu 50 Prozent dehnen. Allerdings besitzt es eine deutliche geringere…

1 Tag ago

BSI zu Cybersicherheit: Bedrohungslage bleibt angespannt

Allerdings nimmt auch die Resilienz gegenüber Cyberattacken zu. Das BSI hat außerdem die Cybersicherheit anstehender…

1 Tag ago