Erkenntnis: Millionen IoT-Geräte ganz einfach hackbar

[English]Unangenehme, aber wenig überraschende, Erkenntnis von der Def Con 2020. Das Groß der Internet of Things-Geräte (IoT) ist sicherheitstechnisch offen wie ein Loch und leicht hackbar. Nur Idioten, Naive, Hassadeure und Firmen setzen so etwas mit (ungesichertem) Zugriff aus dem Internet ein. Firmen könnten das Internet of Trouble natürlich noch mit entsprechenden Gateways gegenüber dem Internet abschotten – ist hier aber nicht das Thema.


Anzeige

Router, Netzwerk-Speichersysteme, Kameras, Türklingeln,  HVAC-Systeme, Kühlschränke, medizinische Geräte, intelligente Autos, intelligente Haustechnik und Fernseher, die über IP-Adressen im Internet erreichbar sind, fallen in die Rubrik IoT, sind aber ein Paradies für Hacker. Paul Marese hat das jetzt auf der Def Con 2020 erneut beleuchtet.

In obigem Tweet fokussiert er sich auf Kameras, die durch das P2P-Protokoll per Internet erreichbar sind (auf GitHub hat er ein Script  veröffentlicht). In diesem YouTube-Video von der Def Con geht ein weiterer Sicherheitsforscher auf PowerLine-Truck-Hacking ein.

P2P-Kommunikation leicht hackbar

Die Kollegen bei heise habe sich des Themas in diesem Artikel angenommen (danke an Karl für den Tipp). Insgesamt hat Paul Marese sich mit den Peer-to-Peer-Kommunikationsprotokollen (P2P)diverser IoT-Geräte befasst. Diese werden von Kameras, Türklingeln, digitalen Videorekordern, NAS-Systemen, vernetzten Alarmanlagen etc. zur Kommunikation verwendet. Das von Shenzen Yunni entwickelte Protokoll iLnkP2P wird nach Auskunft des Herstellers in über 3,6 Millionen Endgeräten eingesetzt. Und das Protokoll ist funktionsgleich mit dem CS2 Network P2P, das in mehr als 50 Millionen Endgeräten genutzt wird. Auf Amazon finden sich über 20 Geräte unter unterschiedlichen Markennamen.


Anzeige

Bei P2P-Netzwerken werden Ports immer offen gehalten, um die Kommunikation mit Endgeräten (auch hinter einem Router per Network Address Translation, NAT) zu ermöglichen. Da lässt sich nichts abschalten und die IoT-Geräte besitzen eine in der Firmware hinterlegte, eindeutige ID (UID). heise schreibt dazu:

Mittels dieser UID identifizieren die von den Herstellern laut Marese hauptsächlich bei Amazons AWS und Alibaba gehosteten P2P-Server das Endgerät, das sich über UDP-Port 32100 beim Server meldet. Die Server teilen anfragenden Clients beziehungsweise Endgeräten die jeweils von der Gegenseite übermittelten Angaben zu öffentlicher IP-Adresse und geöffnetem Port mit, sodass die Kommunikationspartner direkt in Kontakt treten können.

Problem ist nun das P2P-Protokoll, welches die aus einem drei oder vierstelligen Präfix bestehende UID verwendet. Die Hersteller erkennen die von ihnen produzierten Geräte anhand dieser UID, einer Seriennummer und einer Prüfsumme. Paul Marese hat dann ein Script geschrieben, um die derzeit verwendeten 488 Präfixe zu ermitteln. Die Seriennummer wird fortlaufend vergeben – nur die Prüfsumme könnte einen Hacker davon abhalten, die Kommunikation mit den Geräten zu missbrauchen. Aber Marese ist es gelungen, über die von  den Herstellern verwendeten iLnkP2P-Bibliotheken die Algorithmen zur Berechnung dieser Prüfsumme zu ermitteln.

Server ermitteln, Geräte abfragen und hacken

Nachdem diese Informationen vorlagen, fragte Marese 618 ermittelte P2P-Server mit den generierten UIDs ab. Mit diesem Ansatz konnte Marese die IP-Adressen von 3,6 Millionen Geräten (21 % stehen in Europa, >50 % sind in 50 Prozent in Thailand und China in Betrieb) ermitteln. Eine Google-API ermöglichte den Gerätestandort zu bestimmen. 

Nun gibt es in der Firmware von Hichip-Geräten, die Millionen Mal unter unterschiedlichen Namen verkauft werden, eine Schwachstelle, die zu einem Pufferüberlauf führt. Über den Pufferüberlauf konnte der Sicherheitsforscher dann eine Shell auf dem Gerät öffnen. Da die auf den untersuchten Geräten installierte Version von BusyBox durchweg mit root-Rechten arbeitet, stand das Gerät offen. Der Forscher konnte beliebige Dateien hochladen und ausführen – damit ist quasi Version 2.0 des nächsten Botnet die Tür geöffnet. Laut Marese sind P2P-Protokolle auch anfällig für Man-in-the-Middle-Attacken, Angreifer können die Kommunikation zwischen Server und IoT-Gerät abfangen. Bei einer Anmeldung per UID  am Server schickt das IoT-Gerät dann den Benutzernamen und das Kennwort zur Anmeldung.

Marese hat während seiner Arbeit insgesamt sieben kritische Schwachstellen gefunden, die CSV-Nummern erhielten. Der Entwickler Shenzen Yunni meldete sich in über eineinhalb Jahren nicht zurück und hat auch kein Update bereitgestellt, so heise. CS2 Network P2P will die Probleme laut heise in der kommenden Version 4.0 des Protokolls beheben und Hichip habe seine drei Lücken im Juni 2020 per Update geschlossen. Aber die meisten IoT-Geräte sehen nie ein Firmware-Update. Lässt nur den Schluss zu: Auf IoT-Geräte verzichten – oder diese zumindest nicht ans Internet hängen (falls die dann noch funktionieren). Schöne neue Welt – passt wunderbar zu meinem Artikel Abgelaufene Zertifikate kicken IoT-Geräte ins Abseits von Juni 2020. Und dann gäbe es noch den Ripple20-Bug, der auf IoT-Geräte zielt (siehe hier und den nachfolgenden Tweet).

Wartet erst einmal ab, wenn die neuen Autos mit so etwas einschlagen … schöne neue Welt.


Anzeige

Dieser Beitrag wurde unter Geräte, IoT, Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

12 Antworten zu Erkenntnis: Millionen IoT-Geräte ganz einfach hackbar

  1. Knusper sagt:

    Na, endlich habe ich es offiziell. Ich bin ein Idiot.

    • Tom sagt:

      "Willkommen in der ach so tollen IdiOTie-Welt!" ;-)

    • Günter Born sagt:

      Nun gut – ich will ja keinem bewusst auf die Füße treten (ich schrieb ja oben vom Zugriff aus dem Internet ohne jegliche Absicherung). Daher habe ich die Vereinigungsmenge etwas erweitert – also etwas aussuchen, was besser gefällt ;-).

      • Tom sagt:

        @Günter Born
        Alles kein Problem :-)
        Soll (und muß) halt jeder für sich entscheiden und dann damit glücklich werden – oder auch nicht ;-)

      • Knusper sagt:

        Hi Günter,
        es geht nicht ums "auf die Füße treten". Die Welt dreht sich weiter und es wird immer wieder und immer mehr erfunden. Man sollte lernen damit umzugehen. Jemand der alle Neuerungen ablehnt, lernt nicht.

        Alle Leute, welche kluge Klingeln, moderne Autos oder was auch immer verwenden, sind eben keine Idioten. Da muss (müsste) sich die Industrie bewegen. Es kann doch nicht sein, wenn bei einem Schuh die Sohle abgeht, dass der Käufer der Depp ist.

        Du führst auch oben z.B. Router mit auf. Zu welcher Gruppe sollen sich diese Leute zählen? Und ja, du schreibst, dass man alles absichern muss. Irgendwie klar. Doch Verweigerer von IoT sitzen im falschen Zug.

        m2c

        • Günter Born sagt:

          Es gab mal einen Schuhhersteller, dessen geklebte Sohlen lösten sich auf und zerbröselten. Ich habe da mal ein paar neue Schuhe, standen einige Jahre im Schrank, verloren. Hätte ich jetzt wieder und wieder genau diese Schuhe von diesem Hersteller gekauft, hätte ich den Idioten gegeben …

          und nein, ich laufe nicht barfuß herum.

  2. DaT sagt:

    Wartet mal ab, wenn ab 1. September 2020 neu ausgestellte TLS (Server-) Zertifikate nur noch mit einer Gültigkeit von max 398 Tagen ausgestellt werden können – bislang waren es 825 Tage.

    Die "großen" Browser wie Chrome, Firefox, Safari, Edge werden das mit Updates dann zu würdigen wissen und den Zugriff auf solche Seiten verbieten. Dann ist es Schluss mit der Administration der IoT-Gimmicks. Zumindest wenn man HTTPS verwenden möchte.

    Günter hatte das ja auch im Beitrag erwähnt.

    Aber halt: die im Beitrag genannte Personengruppe schaltet halt schnell um auf HTTP … mit Zugriff über das Internet :-)

    Grüße
    Thomas

    • Bastian sagt:

      Ich will das ganze Sicherheitsschlammasel rund um IoT nicht schönreden, aber es gibt durchaus auch vernünftige Wege, ein Internet of Things aufzubauen.

      Sehr viele Webseiten bieten HTTPS über einen Reverse-Proxy an. Und wenn dieser Reverse-Proxy für den Zugriff auf das IoT-Gerät beim Anbieter des IoT-Geräts steht, kann dieser sich auch problemlos um das Erneuern der Zertifikate kümmern.

      Dass der sichere Weg grundsätzlich eher selten durch die Cloud des Anbieters und eher über das VPN in das eigene Heimnetzwerk führt, das steht außer Frage. Im Heimnetzwerk wiederum halte ich HTTPS für überflüssig – aber wer es will, soll es nutzen.

      • Info sagt:

        Wenn du einen Router über WLAN, fallweise, administrieren musst ist eine HTTPS Verbindung heutzutage auch schon wünschenswert… (SOHO)

      • deoroller sagt:

        Falls man mal an einen Telekom Router kommt, bei dem das Zertifikat abgelaufen ist, kann man einen alten Browser als Portable Apps benutzen. Den Firefox 2.0.0.20 zum Beispiel.

      • Günter Born sagt:

        Zu 'Ich will das ganze Sicherheitsschlammasel rund um IoT nicht schönreden, aber es gibt durchaus auch vernünftige Wege, ein Internet of Things aufzubauen.' – das alleine ist schon ein Oxymoron.

        Internet of Trouble macht nur Sinn, wenn Hinz und Kunz das einsetzen. H&K kriegen das aber maximal nur zum Laufen, Absicherung ist ein Fremdwort. Und mit dem, was da an China-Krachern unter die Leute kommt, bin ich mir auch nicht sicher, ob man das überhaupt absichern kann.

        Wenn IoT aber nur auf die Techblase der Wissenden gemappt wird, kollabiert das Geschäftsfeld.

        Egal, wie man es dreht und wendet – es kommt nur Mist raus – oder ich sehe es mal wieder zu kritisch.

  3. Micha sagt:

    Hersteller von IoT Geräten sollten verpflichtet werden Fehlerbehebungen in ihre Firmware implementieren zu müssen. Das muss auch noch zutreffen wenn das Betreffende Gerät mehrere Jahre alt ist.

    Ich wüsste nicht warum ein Auto zwangsläufig eine Onlineverbindung braucht. Zum steuern des Fahrzeuges braucht man die nicht. Auch Satellitennavigation funktioniert ohne Internet ganz gut.
    Sofern Radiosender die Verkehrsdaten Datenbanken (TMC) besser warten würden und portable navigation device (PNDs) eine Möglichkeit hätten eine Externe Antenne zu nutzen könnte man auch Verkehrsmeldungen ohne Internet auf die Geräte bringen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.