Gestern hatte der Sicherheitsanbieter IOActive darauf hingewiesen, dass mehr als 500.000 Smart-Home-Geräte der Produktreihe WeMo von Belkin anfällig für Hackerangriffe sind. Gleich mehrere Sicherheitslücken sollen einen nicht autorisierten Zugriff auf Heimnetzwerke und die Steuerung der mit den intelligenten Steckdosen verbundenen Haushaltsgeräte erlauben. Wie Belkin unseren Kollegen von ZDNet.de zwischenzeitlich mitgeteilt hat, stehen für die fraglichen Geräte seit wenigen Stunden aktualisierte Firmwares zur Verfügung, die die Sicherheitsprobleme beheben.
Nutzer haben eine In-App-Mitteilung über die Firmware-Updates erhalten. Diese sollten aber nur mit den aktuellen Anwendungen aus den jeweiligen App Stores aktualisiert werden. Nicht betroffen von den genannten Sicherheitslücken sind Geräte, die mit der Firmware 3949 arbeiten.
Nach Angaben der Sicherheitsexperten könnte ein Hacker ohne eine entsprechend aktualisierte Firmware eine speziell präparierte Firmware einschleusen und auf den auch in Deutschland erhältlichen WeMo-Produkten installieren. Den für die Signierung der falschen Firmware benötigten Schlüssel entnahmen die Sicherheitsforscher dem Original-Firmware-Image von Belkin. Dies sei aufgrund einer fehlerhaften Implementierung des verwendeten Kryptografiesystems GNU Privacy Guard (GPG) möglich.
Zwar verschlüsselt Belkin bei einem Firmware-Update den Datenverkehr zwischen seinen Servern und den WeMo-Geräten. Allerdings prüft es nicht die Gültigkeit des verwendeten SSL-Zertifikats, weshalb ein beliebiges Zertifikat für die Übertragung einer Firmware-Datei genutzt werden kann.
Nach der Installation der präparierten Firmware sei es den Angreifern möglich, an die Steckdosen angeschlossene Geräte über das Internet ein- und auszuschalten. Das könne zu Fehlfunktionen und sogar Bränden führen, warnt IOActive. „Außerdem kann eine Steckdose, sobald ein Angreifer eine Verbindung zu einem WeMo-Gerät im Netzwerk des Opfers hergestellt hat, als Ausgangspunkt für Angriffe auf weitere Geräte wie Laptops, Mobiltelefone und Netzwerkspeicher genutzt werden“, heißt es in einer Pressemitteilung.
IOActive riet allen betroffen Nutzern, bis zur Veröffentlichung eines Patches durch Belkin alle WeMo-Geräte vom Stromnetz zu trennen. Die Sicherheitswarnung habe man zusammen mit dem US-CERT veröffentlicht, da Belkin auf mehrere Kontaktversuche nicht reagiert habe.
„Wenn wir unser Zuhause mit dem Internet verbinden, wird es immer wichtiger, dass Anbieter von „Internet der Dinge“-Geräten sicherstellen, dass schon am Anfang der Produktentwicklung vernünftige Sicherheitsmethoden angewendet werden“, sagte Mike Davis, Principal Research Scientist bei IOActive. „Das vermindert das Risiko ihrer Kunden. Ein weiteres Problem ist, dass die WeMo-Geräte auch Bewegungssensoren besitzen, die ein Angreifer nutzen kann, um aus der Ferne festzustellen, ob jemand zu Hause ist.“
[mit Material von Stefan Beiersmann, News.com]
Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Neueste Kommentare
Noch keine Kommentare zu Sicherheitslücken in Smart-Home-Produkten von Belkin inzwischen behoben
Vielen dank für Ihren Kommentar.
Ihre Kommentar wurde gespeichert und wartet auf Moderation.