Schwachstellen in beliebter smarter Steckdose

Über Bitdefender bin ich auf neue Sicherheitslücken in einer intelligenten Steckdose von Belkin hingewiesen worden. Angreifer konnten den Datenverkehr mitlesen und Nutzer ausspionieren. Inzwischen gibt es aber ein Firmware-Update, welches die Schwachstellen schließen soll.


Anzeige

Smart-Home-Fans sind immer wieder der Gefahr ausgesetzt, dass unzureichende Sicherheit ihrer vernetzten Geräte Cyberkriminellen die Tür in ihr Netzwerk öffnet. Dies zeigen erneut zwei Schwachstellen, die in der smarten Steckdose Belkin WeMo Insight Switch entdeckt und inzwischen veröffentlicht wurden. Sie haben Angreifern ermöglicht, Code auf dem Gerät auszuführen und, wenn sie physischen Zugriff auf das Gerät bekommen, Root Access zu dessen Filesystem zu erlangen. Security-Spezialisten von Bitdefender haben die Sicherheitslücken im Juni entdeckt, ein Firmware-Update des Herstellers hat sie mittlerweile beseitigt.

Steckdose Belkin WeMo Insight Switch

Der WeMo Insight Switch ist seit dem Jahr 2013 erhältlich und ermöglicht es laut Belkin, Elektro- und Elektronikgeräte von überall aus an- oder abzuschalten und zu überwachen. Belkin schreibt:

 WeMo Insight Switch
(Quelle: Belkin)

“Der WLAN-fähige Wemo Insight Switch vernetzt die Haushalts- und Elektronikgeräte bei Ihnen zu Hause mit Ihrem WLAN-Netzwerk und ermöglicht es Ihnen, Geräte an- und abzuschalten, individuelle Benachrichtigungen zu programmieren und den Gerätestatus zu ändern – von überall aus. Mit dem Wemo Insight Switch können Sie Ihre Elektronikgeräte zudem überwachen und sich Informationen über Ihren Energieverbrauch direkt auf Ihr Smartphone oder Tablet senden lassen. Der Switch lässt sich ideal mit Heizgeräten, Wandklimaanlagen, Fernsehern, Waschmaschinen, Trocknern, Ventilatoren, Lampen und weiteren Geräten koppeln.”

Schwachstelle in Steckdose Belkin WeMo Insight Switch

Bei der Untersuchung des Belkin WeMo Insight Switch im Juni 2019 haben Bitdefender-Spezialisten zwei Schwachstellen entdeckt:

  • Die erste ist eine Buffer-Overflow-Schwachstelle. Da jedes Gerät im Netzwerk ohne Authentisierung Befehle an das Gerät schicken kann, ermöglicht diese Schwachstelle Angreifern im lokalen Netzwerk, Code auf dem Gerät auszuführen.
  • Die zweite Schwachstelle erfordert physischen Zugriff auf das Gerät: Wenn Angreifer den Boot-Prozess unterbrechen, können sie Root Access zum Filesystem des Geräts erlangen.

Angreifer könnten durch Ausnutzen der Schwachstellen somit zum Beispiel eine Backdoor einbauen und den Datenverkehr beobachten, das Nutzerverhalten ausspionieren oder herausfinden, wann Menschen im Haus sind und wann nicht. Da IoT-Geräte nicht von herkömmlichen Anti-Malware-Lösungen geschützt werden können, hat ein betroffener Anwender keine Chance herauszufinden, ob sein Gerät kompromittiert wurde.

Firmware-Update schließt Schwachstellen

Belkin hat die beiden Schwachstellen mit der WeMo Firmware 11408 geschlossen. Die Buffer Overflow-Schwachstelle ist unter dem Code CVE-2019-17094 veröffentlicht und dokumentiert. Ein englischsprachiges Whitepaper zu den ermittelten Schwachstellen ist kostenlos als PDF-Dokument verfügbar.


Anzeige
Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

1 Antwort zu Schwachstellen in beliebter smarter Steckdose


  1. Anzeige
  2. Martin Wildi sagt:

    Cool, danke für den Hinweis. Hab meine grad aktualisiert.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.