Baulinks -> Redaktion  || < älter 2020/1192 jünger > >>|  

ESET erinnert noch einmal an alte Sicherheitslücken in beliebten Smart-Home-Geräten

(14.7.2020) Der IT-Sicherheitshersteller ESET hatte 2018 in drei beliebten Smart-Home-Zentralen gravierende Sicherheitslücken entdeckt und die betroffenen Hersteller darüber informiert - worauf diese umgehend mit Sicherheits-Updates reagiert haben. Zu den betroffenen Geräten zählten die vielfach verkauften ...

  • HomeMatic Central Control Unit (CCU2),
  • Fibaro Home Center Lite und
  • eLAN-RF-003.

Nutzer Teil des Problems

Da die  Sicherheits-Updates händisch bestätigt werden müssen, ist immer noch von einer großen Anzahl ungepatchter Geräte auszugehen, die immer noch über die bekannten Schwachstellen verfügen. ESET empfiehlt Nutzern eindringlich, die neuen Programmversionen zeitnah einzuspielen.

Über die gefundenen Schwachstellen könnten Angreifer also immer noch die Kontrolle über die Geräte übernehmen und dadurch Man-in-the-middle-Angriffe durchführen, Opfer belauschen, sensible Daten stehlen, Hintertüren öffnen oder Root-Zugriff auf einige der Geräte erlangen. Im schlimmsten Fall schaffen es Hacker, über die Schaltzentralen die umfassende Kontrolle über das jeweilige Smart Home zu erlangen.

„Sicherheitslücken in IoT-Geräten sind ein weit verbreitetes und vielfach noch immer unterschätztes Problem. Mängel in den Einstellungen sowie die fehlende Verschlüsselung oder Authentifizierung treten nicht nur bei billigen Low-End-Geräten auf. Leider krankt auch High-End-Hardware sehr oft daran“, betont ESET-Security-and-Aware­ness-Spezialist Ondrej Kubovic.

Homematic CCU2

Die zentrale Steuereinheit des Smart-Home-Systems von eQ-3 zeigte während des ESET-Tests einen schwerwiegenden Sicherheitsmangel: Angreifer hätten als Root-Benutzer eine nicht authentifizierte Remote-Code-Ausführung (RCE) durchführen können. Mit entsprechenden Shell-Befehlen wäre der volle Zugriff auf die Schaltzentrale und auch auf angeschlossene Peripheriegeräte möglich gewesen. Da eQ-3 mit seinen Eigenmarken und OEM-Produkten einen Anteil von 40% installierten Basis aller „Whole-Home-Systeme“ in Europa besitzt, hat diese Sicherheitslücke eine enorme Relevanz.

Fibaro Home Center Lite

Der Home-Automation-Controller von Fibaro dient der Steuerung der Peripheriegeräte im Smart Home. Zahlreiche gravierende Schwachstellen hätten dabei zum Super-GAU führen können. Angreifer wären in der Lage gewesen, eine SSH-Hintertür zu erstellen, Schadcode auszuführen und letztlich die volle Kontrolle über das Zielgerät zu erlangen.

RF-Box eLAN-RF-003

Auch die Zentraleinheit RF-Box eLAN-RF-003 des tschechischen Unternehmens ELKO EP wies in der ESET-Analyse deutliche Schwachstellen auf. Die Sicherheitsexperten testeten das Gerät zusammen mit zwei Peripheriegeräten desselben Herstellers: einer drahtlos dimmbaren LED-Lampe und einer dimmbaren Fassung. Eine unzureichende Befehlsauthentifizierung hätte es ermöglicht, dass Hacker alle Befehle ohne Anmeldung hätten ausführen können. Zudem zeigte sich, dass die Funkkommunikation mit Peripheriegeräten anfällig war für spezielle Netzwerkattacken, sogenannte „Record and Replay“-Angriffe.

siehe auch für zusätzliche Informationen:

Impressum | Datenschutz © 1997-2020 ARCHmatic - Alfons Oebbeke (XING, linkedin)
ANZEIGE