Google hatte offensichtlich aktuell Probleme mit dem Authentifizierungsservice
Diese Services sind auch die Basis für viele Smart Home Anwendungen. Offensichtlich haben diese nicht nur eine Schwäche, sondern sind aufgrund Ihrer Architektur vielen Angriffsmöglichkeiten ausgesetzt. Der Computer Chaos Club (CCC) hat dies bereits vor einiger Zeit ausführlich nachgewiesen. Offensichtlich haben diese Entdeckungen nichts von Ihrer Brisanz eingebüsst.
CCC über Sicherheit in smart Devices.
Smart Home Anwendungen schiessen wie Pilze aus dem feuchten Waldboden und ermöglichen vielfältige Anwendungen in Ihrem Zuhause. Sie betätigen Ihr Garagentor, öffnen und schliessen die Storen, automatisieren das Licht in Haus und Garten, sprengen Ihren Rasen und vieles anderes mehr. Die Anwendungsfälle dieser Technologie scheinen schier unendlich.
So dachte auch Elvira H. aus Luzern die ihr Zuhause mit einigen dieser nützlichen Helfer ausgestattet hat. Nun soll sie sich sicherheitsrelevante Probleme ins Haus geholt haben? Was soll das schon sein: «Jetzt kann halt jemand mein Licht ein und ausschalten, da werden die Hacker bald die Lust verlieren.»
Wieviel Angst muss man haben?
Die Lücken gehen viel tiefer als die blosse Übernahme der Kontrolle über das smarte Gerät.
Schauen wir uns zuerst an, wie diese Geräte im Normalfall funktionieren und eingebunden werden. Zur Einfachheit nehmen wir als Beispiel ebenfalls eine smarte Glühbirne, welche bereits für unter 20 Fr. über den Ladentisch geht. Nach dem Eindrehen in die normale Lampenfassung muss die Lampe noch im WLAN angemeldet werden. Das kann mit dem PC oder auch mit Natel oder Tablet Devices sehr einfach bewerkstelligt werden. Dass man im Prozess das WLAN Passwort eingeben muss, erscheint normal und notwendig, das Gerät muss sich ja verbinden können.
Passwort geht in die Cloud
Hier beginnt aber die tiefere Problematik. Denn dieses Passwort wird in der Elektronik der Glühbirne meist in einem Flash Speicher abgelegt und der CCC hat jetzt bei vielen dieser Geräte nachgewiesen, dass das Passwort dort in Klarschrift gespeichert wird. Also unverschlüsselt! Wenn also jemand diese Glühbirne – z.B. im Garten – ausbaut und ausliest, kommt er ziemlich einfach an das WLAN Passwort des zugehörigen Netzwerkes.
Gut sie werden sagen, diese WLAN Netzwerke sind eh nicht sicher und können gehackt werden. Das ist wohl wahr, aber doch nicht so einfach wie auf diesem Weg.
Smart Home Gerät als Bot Netz
Damit hören die Probleme aber nicht auf. Die smarten Geräte sind smart, weil sich in Ihrer Elektronik ein kleiner PC befindet. Sie haben vielleicht vom Raspberry PI gehört. Dieser Mini Computer bringt für kleines Geld grosse Computing Power bei denen selbst Video Anwendungen möglich sind. In den smarten Glühbirnen sind, vor allem aus Kostengründen, natürlich viel einfachere und schwächere Einheiten verbaut.
Gekapertes Gerät als Mehrwert für den Hersteller
Aber es ist dem CCC gelungen, die Firmware – das ist das System Programm – zu ersetzen und damit den Funktionsumfang der Glühbirne zu erweitern beziehungsweise zu verändern. Und das vollkommen transparent für den Benutzer. Das bedeutet der Benutzer merkt nicht, dass seine Glühbirne von aussen kontrolliert wird. Ausserdem wird neben dem WLAN Passwort die Email Adresse mit der das Gerät beim Hersteller registriert wurde und der Einbauort gespeichert. Alles sehr brisante Daten. Wofür der Hersteller den installierten Ort benötigt, können sich Big Data Spezialisten relativ einfach vorstellen. Denken sie nur an vielfältige Auswertungsmöglichkeiten z.B. zur Marktdurchdringung, ausserdem bekommt der Hersteller extrem wertvolle Informationen über den Endkunden, selbst wenn das Gerät im Baumarkt gekauft wurde.
Was kann man jetzt am Besten tun?
Der beste Tipp wäre wohl auf diese Art Geräte zu verzichten. Das wird sich aber je länger je weniger vermeiden lassen. Daher als Empfehlung: Hände weg von Billig-Anbietern. Ein renommierter Hersteller wird alles unternehmen um die gute Reputation aufrecht zu erhalten und genügend in die Sicherheit investieren. Wie überall gesunde Vorsicht ist angebracht, übertriebener Eifer schadet.
Weiterführende Links zum Thema
https://hub.hslu.ch/informatik/iot-fur-ihre-sicherheit-mussen-sie-schon-selbst-sorgen/
About Author
Rüdiger Molzahn arbeitet bei der Falcon Private als MIS Database Manager mit Schwerpunkt auf die Datenbeschaffung unter Einhaltung der Datensicherheit