change language     -        


Wenn das Smart Home zum Albtraum wird

2 September 2019, 10:57

Technik





news_image

Quelle Image:  https://media.kasperskydaily.com

 

Stellen Sie sich Ihr Leben vor, wie Smart-Home-Entwickler es gerne sehen würden: Ein langer Arbeitstag ist vorbei und es fehlen nur noch wenige Meter bis nach Hause. Ihre Haustüre öffnet sich dank Gesichts- und Iriserkennung automatisch. Das Haus ist bereits vorgeheizt und das Licht im Hausflur leicht gedimmt. Musik spielt leise und der Wasserkocher hat sich gerade ausgeschaltet als Sie den Flur betreten.


 

Sie essen zu Abend und entspannen sich auf dem Sofa, natürlich mit Ihrem Smartphone in der Hand, um die Lichter zu dimmen und den Fernseher einzuschalten. Smart Homes scheinen das Leben deutlich angenehmer und einfacher zu machen – all diese kleinen alltäglichen Routinen sind nun entweder automatisiert oder können vom Handy aus gesteuert werden.

Das eben beschriebene Szenario könnte allerdings auch ganz anders ablaufen: Sie nähern sich der Haustüre, aber rein gar nichts passiert. Gesicht und Iris scheinen in Vergessenheit geraten. Natürlich wussten Sie, dass das unter Umständen passieren könnte und kramen den herkömmlichen Schlüssel aus Ihrer Hosentasche. Sie öffnen die Türe und betreten das ungewöhnlich dunkle Haus. Es ist eiskalt, denn auch die Heizung, die eigentlich vor zwei Stunden automatisch anspringen sollte, regt sich nicht.

Wenige Sekunden später schrillt der Smart Alarm los, der normalerweise die Anwesenheit Ihres Smartphones erkennen und sich daraufhin automatisch abschalten sollte. Erleichterung macht sich breit, denn zumindest eine Sache scheint wie gewohnt zu funktionieren: Der Fernseher ist bereits eingeschaltet – aber anstatt des Abendprogramms können Sie dort über die Kamera an der Decke einen Live-Feed Ihrer selbst bestaunen. Im Hintergrund nehmen Sie bereits die Sirenen der Feuerwehr wahr, die sich Ihrem Haus zu nähern scheint. Was um Himmels Willen ist passiert? Ihr Smart Home wurde gehackt!

Eine solche Situation könnte eintreten, wenn sich jemand in den Smart Hub einklinkt, der alle Geräte Ihres Smart Homes steuert. Auf dem Mobile World Congress 2018 zeigte Vladimir Daschenko von Kaspersky Lab, dass das nicht besonders schwierig ist.

 

Auf dem #MWC18 haben Forscher von #Kaspersky Lab gezeigt, wie einfach Smart Homes gehackt werden können.

Tweet

 

Was ist ein Smart Hub?

Ein Smart Hub ist im übertragegen Sinne das Nervenzentrum und das Gehirn Ihres Smart Homes. Normalerweise handelt es sich dabei um eine kleine Box, die je nach Modell mit oder ohne Touchscreen erhältlich ist. Über spezifische Protokolle kommuniziert der Smart Hub mit allen Smart-Geräten in Ihrem Haus; diese „antworten“ dem Smart Hub, indem sie ihn mit Informationen oder Befehlen versorgen.





Ohne Bildschirm verfügt der Smart Hub über eine mobile Anwendung, einen webbasierten Dienst oder beides, mit denen der Nutzer seine Smart-Geräte programmieren kann. Der Smart Hub ist unerlässlich, um die Geräte im Haus zu synchronisieren und zu steuern. Für den Benutzer ist das zwar überaus praktisch, aber es bedeutet auch, dass Angreifer sich ausschließlich Zugang zum Smart Hub verschaffen müssen, um Ihr gesamtes Smart Home zu hacken.

So können Smart Hubs gehackt werden

Die Smart Hubs eines bestimmten Anbieters (dessen Namen wir hier nicht nennen möchten) wiesen auf den ersten Blick keine signifikanten Sicherheitslücken in ihrem Code auf. Ein paar logische Fehler reichten unseren Experten jedoch aus, um den Smart Hub ohne jeglichen Zugang zum WLAN-Netzwerk des Nutzers zu hacken.

Um den Hub über das Webportal zu steuern, sendet der Benutzer einen Synchronisierungsbefehl von der Web-Schnittstelle an den Hub. Anfänglich sieht es so aus, als würde eine ganze Konfigurationsdatei einem Hub mit einer bestimmten Seriennummer zugeordnet, die dann vom Hub heruntergeladen und implementiert wird. Die Datei wird jedoch über einen nicht verschlüsselten HTTP-Kanal gesendet, und lediglich die Seriennummer des Hubs wird zur Identifizierung des Empfängers verwendet.

Wenn ein Angreifer also die Seriennummer des Ziel-Hubs kennt, kann er eine benutzerdefinierte Konfigurationsdatei an den Hub senden, die ohne zusätzliche Kommunikation akzeptiert wird. Das mag unwahrscheinlich klingen, aber meist ist es den Nutzern gar nicht klar, dass die Seriennummer der Generalschlüssel zu ihrem Smart-Home-System ist. Daher veröffentlichen sie gerne Reviews zu ihren Smart Hubs auf YouTube und halten alle Informationen in die Kamera, die zum Hacken des Hubs nötig sind – inklusive Seriennummern. Als ob das nicht schon schlimm genug wäre, stellt sich heraus, dass die Seriennummern Brute-Force-Attacken zum Opfer fallen können.

Der Benutzername und das Passwort für jeden Smart Hub kann in der Konfigurationsdatei gefunden werden. Der Benutzername kann ohne weiteres sofort extrahiert werden; wenigstens das Passwort ist verschlüsselt. Die Verschlüsselung ist jedoch nicht besonders stark und kann mit öffentlich verfügbaren Programmen ziemlich schnell unterbrochen werden. Zudem stellt der Anbieter keine Komplexitätsanforderungen für Kennwörter; somit haben Hacker leichtes Spiel.

Mit Benutzernamen und Passwort kann ein Hacker die vollständige Kontrolle über den Smart Hub und alle mit ihm vernetzten Geräte erlangen; das von uns beschriebene Umkehrszenario ist also gar nicht mal so abwegig.

So vermeiden Sie ein mögliches Schreckensszenario

Smart Homes sind momentan noch immer Neuland und daher nicht besonders gut erforscht und somit leider auch anfälliger für mögliche Angriffe – wie unsere Untersuchung leider wieder einmal beweist (wir haben zuvor bereits gezeigt, wie einfach es ist, andere Smart Geräte zu hacken).

In diesem speziellen Fall hat der Hersteller mehrere logische Fehler gemacht, die es ermöglichten, das Smart-Home-System zu hacken: die Übertragung von Konfigurationsdateien über unverschlüsseltes HTTP; die Verwendung einer Seriennummer als einziges Authentifizierungsmittel für Konfigurationsaktualisierungen und leicht zu entnehmende Anmeldeinformationen.

 

Was können Sie tun, um Ihr smartes Leben zu schützen? Im Falle dieses speziellen Hubs scheint die Lösung relativ simpel:

  • Zeigen Sie niemandem die Seriennummer Ihres Smart Hubs, denn diese fungiert als Generalschlüssel Ihres Smart Homes.

  • Kaufen Sie keine Smart-Geräte aus zweiter Hand. Die Firmware könnten von den vorherigen Besitzern modifiziert worden sein, um so einem Kriminellen die volle Kontrolle über Ihr Smart Home zu geben.

 

Bedenken Sie, dass Hacker auch auf zufällige Seriennummern zurückgreifen können, um Smart Hubs zu hacken. In diesem Fall gibt es leider keine Möglichkeit, eine 100%ige Sicherheit zu gewährleisten. Um auf der sicheren Seite zu bleiben, ist es empfehlenswert abzuwarten, bis die Hubs, die für die Kontrolle der Smart Homes verantwortlich sind, gründlich auf Schwachstellen überprüft und richtig gepatcht werden. Im Falle dieses speziellen Smart-Hubs ist die Veröffentlichung des Patches noch immer im Gange, weshalb wir den Namen des Anbieters nicht bekannt geben möchten. Sie können weitere Details in diesem Beitrag auf Securelist finden.


Quelle: Kaspersky


Hat dir dieser Artikel gefallen? Dann teil ihn mit deinen Freunden.




Folgt uns um keinem Artikel mehr zu verpassen




news_image

Erinnern Sie sich noch an den Skandal um Stefan Kohn? Das war der Mann aus dem Bundesinnenministerium, der seinen Posten verloren hat, weil er eine Denkschrift zu den Corona-Maßnahmen der Regierung geschrieben hat und darin die Maßnahmen der Regierung deu

Read more

news_image

Die Weltgesundheitsorganisation WHO hat Tests mit dem Malaria-Medikament Hydroxychloroquin zur Bekämpfung von Covid-19 ausgesetzt. Grund sind Sicherheitsbedenken gegen das Mittel.

Read more

news_image

Zum ersten Mal überhaupt soll ein privates Raumfahrtunternehmen zwei Nasa-Astronauten auf die ISS bringen. Wir verraten euch, wie ihr den historischen Raketenstart live im Stream verfolgen könnt.

Read more

news_image

So etwas gab es noch nie: Biologieforschern gelingt es, sehr spezielle Lebewesen zu erschaffen, die zur Hälfte Schweine und zur Hälfte Affen sind. Dies wirft natürlich ethische Fragen auf, könnte uns aber auch dabei helfen, dem Mangel an Spenderorganen en

Read more

news_image

Nach Ramelows Lockerungskurs in Thüringen: Kritik aus allen Richtungen. Nachbar Bayern denkt an gar Abschottungsmaßnahmen.

Read more


allnews_image

Eltern müssen täglich eine Gesundheitsbestätigung ausfüllen, wenn ihr Kind eine Grundschule oder Förderschule (Primarbereich) besucht. Die wichtigsten Fragen dazu gibt es im Blog.

Voir plus


allnews_image

Plötzliche Wende bei Corona-Maßnahmen: Mit Thüringen will das erste Bundesland die Maßnahmen beenden - das neue Alarmsystem soll schon ab Juni gelten. Nun haben sich andere Bundesländer zu dem Vorstoß geäußert.

Voir plus


allnews_image

In einem Schreiben des Staatsministeriums für Kultus des Freistaats Sachsen wird Eltern in letzter Konsequenz mit Kindesentzug gedroht, wenn sie ihren Kindern nicht eine tägliche Gesundheitsbestätigung in die Schule mitgeben sollten. Das Schreiben sei täg

Voir plus


allnews_image

Eine Grundschullehrerin rüttelt derzeit Eltern und Lehrer wach. "Nina" macht auf die derzeitigen Missstände in ihrer Schulen aufmerksam. Seit einigen Jahren sei sie als Grundschullehrerin tätig. Nun unterrichte sie kleine Gruppen im Präsenzunterricht. Ihr

Voir plus


allnews_image

Immer mehr Satelliten und Megakonstellationen wie das Starlink-Projekt von SpaceX-Chef Elon Musk umkreisen die Erde: Das kann verheerende Folgen haben, glauben Experten. Dabei gibt es längst Lösungsansätze.

Voir plus


allnews_image

Die Bundesregierung verhindert nicht, dass europäische Unternehmen bienengiftige und EU-weit nicht zugelassene Pestizidwirkstoffe nach Brasilien exportieren und dort vertreiben. Das zeigt eine Untersuchung von Greenpeace anlässlich des heutigen Tages der

Voir plus



allnews_image

Sachsen. Neu: Eltern von Grundschülern entscheiden, ob Kinder Zuhause lernen oder in der Schule

Voir plus


allnews_image

Pontus Jansson baut Steinmännchen wie kaum ein anderer. Der Schwede dokumentiert sein besonderes Talent in den Sozialen Medien. Ihm zuzusehen ist faszinierend – und beruhigend.

Voir plus


allnews_image

Die „Eisheiligen“ sind vorbei. Der Bibber-Mai ein Ende. Jetzt nimmt ein ganz anderes Wetterphänomen Kurs auf Europa. Und das Wetter in Deutschland dreht nach dem Wochenende richtig auf.

Voir plus


allnews_image

Die Verbraucher-Kanzlei Dr. Stoll & Sauer Rechtsanwaltsgesellschaft mbH aus Lahr bereitet derzeit im Fall Harbarth eine Beschwerde vor dem Europäischen Gerichtshof für Menschenrechte (EGMR) vor. Das Bundesverfassungsgericht hatte am 18. März 2020 (Az:. 2

Voir plus


allnews_image

Eine möglichst lang hinausgezögerte Schließung des Hauptwerks, "Faschismus"-Pöbeleien via Twitter, und ein ziemlich öffentliches Tauziehen um Aufsperren seiner kalifornischen Autofabrik entgegen behördlicher Anordnung in der Coronakrise: In den letzten Wo

Voir plus


allnews_image

Ein interdisziplinäres Forscherteam der Universität Frankfurt hat den Einfluss des Coronavirus auf menschliche Zellen untersucht. Das Team hat herausgefunden, dass es möglich ist, das Virus durch die Hemmung der Proteinproduktion zu stoppen. Auf der Gru

Voir plus


allnews_image

Ein Dollar kostet in der Türkei so viel wie noch nie. Die psychologische Marke hat für die Wirtschaft des Landes nicht nur Nachteile.

Voir plus


allnews_image

Münster - In Deutschland kommen Kinder in der Regel mit sechs Jahren in die Schule. Nur in Ausnahmefällen können Eltern beantragen, dass die Einschulung ihres Kindes um ein Jahr nach hinten verschoben wird. Da viele Kinder aber wegen der wochenlangen Kit

Voir plus


allnews_image

Der Chef des französischen Pharmakonzerns Sanofi will einen Impfstoff zuerst den USA zur Verfügung stellen. Nun interveniert Emmanuel Macron.

Voir plus


allnews_image

Es gibt ein soziales Netzwerk mit dem Namen Grimassenheft. Farblich ist es eher in Blautönen gehalten, um seiner Emotion über einen Beitrag Ausdruck zu verleihen, benutzt man Daumen, die man gen Himmel zeigen lassen kann. Das Grimassenheft wurde von einem

Voir plus


allnews_image

Tabakfirmen fahren Extra-Schichten. Dabei zeigen Raucher öfter einen schweren Krankheitsverlauf. Werbung für risikoärmere Alternativen verschieben die Unternehmen kurzerhand.

Voir plus


allnews_image

Die Lungenkrankheit „Covid-19“ breitet sich rasant über den Globus aus. Mehr als vier Millionen Infektionen mit dem Coronavirus sind weltweit mittlerweile bestätigt. Mehr als 290.000 Menschen sind bereits gestorben. Die Entwicklungen im Newsblog.

Voir plus


allnews_image

Die Grenze zwischen Deutschland und Österreich soll am 15. Juni wieder vollständig geöffnet werden. Das hat das Wiener Bundeskanzleramt bestätigt. Schon ab diesem Freitag soll es offenbar nur noch Stichproben-Kontrollen geben.

Voir plus


allnews_image

Jahrelang hat der Tiefstand des Sees Genezareth Sorgen bereitet – doch nach starken Regenfällen in den letzten Monaten ist das Wasserreservoir im Norden Israels nun fast voll. Steigt der Pegel noch um zehn Zentimeter, wird das erste Mal seit 25 Jahren sog

Voir plus




allnews_image

Deutschland hat das größte Hilfspaket in der Geschichte der Bundesrepublik auf den Weg gebracht. Mit dem Corona-Schutzschild stabilisiert die Bundesregierung die Wirtschaft, mobilisiert massive Finanzmittel für Beschäftigte, Selbstständige und Unternehmen

Voir plus


allnews_image

Der 1. Mai 2020 bringt in Deutschland wichtige Neuerungen und neue Gesetze. Hier kommen die wichtigsten Änderungen im Überblick.

Voir plus


allnews_image

Raucher, die sich gerne mal eine Zigarette mit angeblich erfrischender Wirkung gönnen, sollten sich dieses Datum dick im Kalender anstreichen. Ab 20. Mai 2020 sind Menthol-Zigaretten EU-weit verboten. Was steckt hinter dem Verkaufsverbot?

Voir plus


allnews_image

Tesla hat seine Produktion in den USA entgegen lokaler Vorgaben wegen der Corona-Pandemie wieder aufgenommen. Tesla-Gründer Elon Musk sagte, er werde persönlich das Risiko tragen, womöglich ins Gefängnis zu müssen. Musk hatte vorher scharfe Kritik an d

Voir plus


allnews_image

Auf dem Alexanderplatz drängt die Polizei Demonstranten mit Pfefferspray zurück. Es gibt mehrere Festnahmen. Auch bei einer Demo vor dem Reichstag werden Dutzende Menschen festgenommen.

Voir plus