Die Sicherheitsfirma Rapid7 hat zwei Schwachstellen in vernetzten Geräten öffentlich gemacht, die inzwischen gepatcht wurden. Betroffen waren ein „Smart Toy“ von Fisher-Price und eine GPS-Uhr von HereO. Beide Produkte sind für Kinder ab drei Jahren bestimmt. Beide authentifizierten die Kommunikation mit dem Webservice nicht korrekt.
Sicherheitsforscher Mark Stanislav schreibt in einem Blogbeitrag, ein Angreifer könne die Funktionen des Spielzeugs manipulieren und so im Rahmen der vorgesehenen Möglichkeiten Aktionen veranlassen, die das Kind nicht beabsichtigte.
Im Fall der GPS-Plattform von HereO konnten Angreifer aufgrund des Fehlers ein weiteres Nutzerkonto innerhalb einer Familie einrichten und von dort aus Aufenthaltsort sowie Profildetails jedes Familienmitglieds einsehen oder Nachrichten an sie senden. Dies umfasste auch frühere Aufenthaltsorte.
Beide Produkte scheinen nicht auf dem deutschen Markt erhältlich zu sein. HereO begrüßt Nutzer aus Deutschland aber mit einer Infoseite samt Vorbestellmöglichkeit zum Preis von 179 Dollar, was ein Abonnement des Ortungsdiensts für die ersten drei Monate einschließt. Die HereO-GPS-Uhr enthält eine SIM-Karte, die in über 120 Ländern automatisch eine Verbindung zu einem Netz herstellen kann.
In beiden Fällen wurden die Hersteller direkt von Rapid7 kontaktiert und behoben die Fehler innerhalb der gesetzten Frist von drei Monaten. Rapid7 interpretiert die gefundenen Lücken in der Authentisierung der Geräte als symptomatisch fürs Internet der Dinge. Im September letzten Jahres hatte es auf ein ähnliches Zugriffsrisiko bei einem Video-Babyfon hingewiesen.
Rapid7-Forscher Tod Beardsley erklärte ZDNet.com auf Nachfrage per E-Mail, es gebe keine Hinweise auf aktive Angriffe über die gefundenen Lücken. Er äußerte sich positiv über die Bereitschaft der Firmen, die Schwachstellen zu beheben. „Das scheint mir ein Schritt in die richtige Richtung zu sein.“
Ein Grund ist nach seiner Vermutung der Angriff auf den Lerncomputerhersteller VTech aus Hongkong vom vergangenen Herbst, bei dem Angreifer Daten von weltweit fast 6,4 Millionen Kindern erbeuteten, darunter eine halbe Million aus Deutschland. Es handelte sich unter anderem um 190 GByte Fotos, die überwiegend Gesichter von Eltern und Kindern zeigten. Viele von ihnen ließen sich eindeutig den Nutzerkonten zuordnen.
Dieser Fall habe einige Firmen empfänglicher für Fehlerberichte gemacht, sagt Beardsley. „Es wäre mir zwar lieber, wenn Firmen ihre knappen Ressourcen auf ein sicheres Design und Sicherheitsprüfungen ihrer Codebasis verwenden würden, aber wenn ich sie einfach nur dazu bringen kann, Schwachstellen zu bestätigen und zeitnah zu beheben, ist das ein großer Schritt vorwärts.“
Täglich unterschreiben wir Empfangsbestätigungen von Paketen, Mietwagenverträge oder Kreditkartenzahlungen mit elektronischen Unterschriften. Im Geschäftsalltag fühlen sich jedoch insbesondere kleine und mittelständische Unternehmen häufig noch abgeschreckt, elektronische Signaturen einzusetzen. Sofern sie richtig in die passenden Geschäftsprozesse integriert werden, bieten sie aber einen großen Mehrwert und sind verbindlicher als eine Bestätigung per E-Mail.
[mit Material von Zack Whittaker, ZDNet.com]
Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…