Immer vernetzt, schlecht geschützt: Sicherheitslücken im Internet der Dinge

Seit Sie alles Mögliche ans Internet angeschlossen haben, ist Ihr Zuhause nicht mehr die Burg, die es mal war. Angreifer können Ihr Kind über das Babyfon ausspionieren oder in Ihr Haus einbrechen, indem sie das „smarte“ Schloss täuschen.

Vor einem Jahr versuchte unser Kollege David Jacoby, einer der Forscher des Global Research and Analysis Teams (GReAT), sein Haus zu hacken. Er hatte Erfolg und fand eine Menge seltsamer Dinge heraus. Dieses Experiment inspirierte viele Kaspersky-Mitarbeiter in aller Welt dazu, das gleiche Experiment bei sich zu Hause durchzuführen.

surviving-iot-infographic-DE

Um smarte Geräte auf Fehler zu prüfen, haben wir beliebte Geräte des Internet der Dinge (Internet of Things – IoT), etwa Google Chromecast (einen USB-Stick für Video-Streaming), eine IP-Kamera sowie eine smarte Kaffeemaschine und ein Haussicherheitssystem  genommen, die alle über ein Smartphone oder eine mobile App gesteuert werden können. Die Modelle und Geräte wurden zufällig und ohne Bevorzugung spezieller Hersteller ausgewählt.

Unser Experiment zeigte, dass ALLE diese Geräte hackbar waren oder ganz einfach kompromittierbar und durch den Hacker kontrollierbar sind. Wir haben die Sicherheitslücken bereits an die entsprechenden Hersteller berichtet. Mittlerweile sind einige der Produkte bereits aktualisiert, andere sind aber nach wie vor angreifbar.

Chromecast

Die Entwickler von Google Chromecast haben einen Fehler übersehen, der es einem Hacker erlaubt, sein eigenes Fernsehprogramm zu übertragen – dabei kann es sich um alles Mögliche handeln, von Werbung bis zu Horrorfilmen. Wenn ein Angreifer einmal weiß, wie er in ein Gerät eindringen kann, ist es für ihn ein Leichtes, die Nutzererfahrung zu manipulieren. Und das kann so lange gehen, wie es der Hacker möchte, oder zumindest bis das Opfer einen neuen USB-Stick kauft oder statt Chromecast wieder Kabelfernsehen nutzt.

Wenn der Hacker eine Richtantenne verwendet, kann er jederzeit Ihr Lieblingsprogramm unterbrechen, ohne sich in der Nähe aufzuhalten. Damit wird es schwer, den Täter zu fassen. Diese Sicherheitslücke in Chromecast gibt es schon lange und sie ist nach wie vor nicht geschlossen.

IP-Kamera

Die IP-Kamera, die wir getestet haben, ist eigentlich ein Babyfon, das per Smartphone kontrolliert werden kann. Solche Geräte wurden übrigens schon im Jahr 2013 gehackt und werden nach wie vor missbraucht. Das von uns ausgewählte Modell wurde im Jahr 2015 produziert, aber dennoch haben wir einige Fehler gefunden.

Durch einen Missbrauch der Standard-Babyfon-App können Hacker Zugriff auf die E-Mail-Adresse aller Kunden des Herstellers bekommen. Mit dieser umfangreichen Datenbank können die Täter dann zielgerichtete Phishing-Attacken starten.

Weitere Sicherheitslücken erlaubten es unseren Forschern, die volle Kontrolle über die Kamera des Babyfons zu übernehmen: Damit konnten sie alles sehen und hören, was im überwachten Raum passiert. Sie waren die eigentlichen Nutzer dieses kleinen „smarten“ Dings. Wir haben die Sicherheitslücken bereits an den Hersteller gemeldet und bei der Erstellung entsprechender Patches mitgeholfen.

Tasse Kaffee

Nun, das Leben der Anwender mit dem Hacking des Chromecast-Sticks oder des Babyfons durcheinander zu bringen, ist relativ offensichtlich. Doch was ist mit der Kaffeemaschine? Tatsächlich ist dieses Küchengerät eine gute Möglichkeit für Hacker, Sie auszuspionieren, denn sie gibt nur zu gerne Ihr WLAN-Passwort weiter.

Überraschenderweise ist es eine große Herausforderung, das Problem zu lösen, so dass der Hersteller den Fehler bisher nicht beseitigen konnte. Wobei das Ganze nicht ganz so gravierend ist: Das Zeitfenster für Hacker zum Ausnutzen des Fehlers ist nur ein paar Minuten groß. Allerdings bleibt das Problem sogar bestehen, wenn man das WLAN-Passwort ändert – die Kaffeemaschine gibt es immer wieder weiter.

Haussicherheit

Auch das smarte Haussicherheitssystem hat den Kampf verloren. Komischerweise hat uns hier nicht unsere technische Expertise geholfen, sondern das Wissen um physikalische Grundlagen. Das System nutzt spezielle Sensoren, um das Magnetfeld zu überwachen, das von einem in das Schloss eingebauten Magneten erzeugt wird. Sobald ein Einbrecher ein Fenster oder eine Tür öffnet, wird dieses Magnetfeld gestört und der Sensor gibt den Alarm weiter.

Doch mit einem einfachen Magneten kann das Magnetfeld des Schlosses aufrechterhalten werden, obwohl das Fenster oder die Tür geöffnet wird. Dieses Problem ist überall bekannt, da solche Sensoren in vielen bekannten Sicherheitssystemen verwendet werden. Und ein Patch würde hier nicht helfen – man müsste schon das ganze System fundamental ändern.

Auf Software-Seite blockiert das System alle Angriffe, und Einbrecher, die in Physik nicht aufgepasst haben, werden ebenfalls abgewehrt.

Den ausführlichen Bericht zu unserem Experiment sowie der Kommunikation mit den Herstellern finden Sie auf Securelist.

Um das Risiko zu minimieren und Ihr Heim sicherer zu machen, haben wir noch einige Tipps für Sie:

— Wenn Sie darüber nachdenken, bestimmte Teile Ihres Lebens mit „smarten“ Geräten zu vereinfachen, sollten Sie die Sicherheit im Auge behalten. Haben Sie viele Wertgegenstände im Haus? Dann können Sie das Haussicherheitssystem verbessern, indem Sie das schicke Smartphone-verwaltete Einbruchsschutzsystem mit einem traditionellen, verkabelten Alarmsystem ergänzen. Wollen Sie ein Gerät verwenden, das Zugriff auf das Privatleben Ihrer ganzen Familie geben kann (wie zum Beispiel ein Babyfon)? Wenn nicht, sollten Sie lieber zu einfachen Modellen greifen, die den Ton über Funkfrequenzen übertragen und nicht über ein IP-Netzwerk.

— Wenn Sie dennoch mehr möchten, sollten Sie Ihre smarten Geräte sorgfältig auswählen. Lesen Sie vor dem Kauf aktuelle Bewertungen im Internet und suchen Sie nach Nachrichten zu Fehlern und Patches.

— Kaufen Sie nicht das neueste Modell. Brandneue Geräte haben meist Fehler, die erst noch entdeckt werden müssen. Kaufen Sie stattdessen ein Gerät, das bereits einen guten Ruf hat.

Tipps