IoT Inspector und die 7.339 Schwachstellen unter dem Weihnachtsbaum

[English]Sicherheitsexperten von IoT-Inspector haben insgesamt 7.339 gefährliche Sicherheitslücken in beliebten Geschenken wie vernetztem Kinderspielzeug, Smart Speakern oder Hobbydrohnen aufgespürt. Da dürfte sich sicherheitstechnisch der gesammelte Horror unter dem Weihnachtsbaum finden. Auch Produkte namhafter deutscher Hersteller sind vertreten.


Anzeige

Auch in diesem Jahr wird jede/r Deutsche im Durchschnitt 280 Euro für Weihnachtsgeschenke ausgeben. Technische Gadgets wie interaktives Spielzeug, smarte Haushaltsgeräte oder vernetzte Unterhaltungselektronik finden sich unter dem Weihnachtsbaum. Sicherheitsexperten von IoT Inspector haben deshalb beliebte Artikel namhafter Hersteller (u.a. aus den USA und Deutschland) untersucht und kam zu erschreckenden Ergebnissen: Jedes dieser Produkte verfügt über Hunderte von Schwachstellen, die Angreifern im schlimmsten Fall Zugang zu den Geräten ermöglichen. Die Angreifer sind dann in der Lage, auf private Netzwerke zuzugreifen, Daten zu stehlen, Geräte zu manipulieren oder gekaperte Geräte in ihre Botnets einzugliedern.

Fiktiver Geschenkkorb mit sechs Produkten

Die Security-Experten von IoT Inspector untersuchten einen fiktiven Geschenkkorb mit sechs Produkten renommierter Hersteller. Dabei fanden sie insgesamt über 7.000 Schwachstellen, wie sie in einer Mitteilung schreiben. In den meisten Fällen kam veraltete Software mit bekannten Schwachstellen zum Einsatz, teilweise sogar in der neuesten Firmware-Version. Bei der Untersuchung wurden jedoch auch bislang unbekannte Schwachstellen identifiziert, die umgehend an die Hersteller gemeldet wurden.

Zudem fanden die Spezialisten mangelhafte Wartungszugänge, die Angreifern eine Fernsteuerung des Geräts ermöglichen. Hierdurch können die Geräte im schlimmsten Fall ihre Besitzer ausspionieren oder als Waffe für Angriffe auf weitere Ziele eingesetzt werden.

„Zu unserem Erschrecken mussten wir feststellen, dass oft nicht einmal grundlegende Sicherheitsmaßnahmen eingehalten werden: So nutzen die Hersteller für ihre Firmware-Updates teilweise unverschlüsselte Transportwege. Cyberkriminelle können so den Datenverkehr umleiten und Malware in die Geräte einschleusen", erklärt Rainer M. Richter, Geschäftsführer der IoT Inspector GmbH.


Anzeige

„Bei einigen Geräten wird auch das WiFi-Passwort des Nutzers im Klartext gespeichert. In Verbindung mit anderen Schwachstellen kann das Passwort einfach ausgelesen werden, und Angreifer könnten sich dadurch unberechtigten Zugriff verschaffen. Diese sind typische Gründe, weshalb die Schwachstellen von IoT Geräten inzwischen zu einem der Haupteinfallstore für Angreifer zählen." Untersucht wurden folgende Geräte:

  • Smart Speaker mit Voice Control eines bekannten deutschen Herstellers: 1.634 Schwachstellen
  • Als „sicher" beworbener Messenger für Kinder eines weltweit führenden Lernspielzeug-Anbieters: 1.019 Schwachstellen
  • Drohne eines der größten Anbieter in diesem Bereich: 1.250 Schwachstellen
  • Smart Home Kamerasystem eines US-amerikanischen Branchenriesen: 1.242 Schwachstellen
  • Haustier-Überwachungskamera, die häufig auch als Babycam verwendet wird: 643 Schwachstellen
  • Mit „größter Datensicherheit" beworbenes Streaming-Device für Kinder: 1.551 Schwachstellen

„Uns war wichtig, nicht nur ‚No Name'-Billigprodukte zu untersuchen, sondern zu zeigen, dass die Gefahren auch bei Produkten von renommierten Unternehmen lauern", so Richter. „Insgesamt muss die ganze Branche endlich die Sicherheit von IoT-Geräten von Anfang an mitbedenken und umsetzen."

Vorsicht bei IoT-Geräten

Grundsätzlich sollte man bei IoT-Devices Vorsicht walten lassen und für diese ein separates Netzwerksegment einrichten, so die Sicherheitsexperten. Darüber hinaus sollten Käufer/innen folgende Tipps beherzigen:

  • Prüfen Sie, ob der Hersteller eine Website hat. Viele Hersteller, die ihre Produkte auf den gängigen Onlinemarktplätzen verkaufen, sind ominöse Anbieter ohne Internetpräsenz oder Kontaktmöglichkeit.
  • Prüfen Sie, ob der Hersteller regelmäßige Firmware-Updates (vorzugsweise automatisch) zur Verfügung stellt.
  • Ändern Sie sofort das Passwort, falls das Gerät mit einem Standardpasswort ausgeliefert wird.
  • Finden Sie heraus, wie viele persönliche Informationen und Daten Sie einem Gerät zur Verfügung stellen. Wofür benötigt das Gerät diese Daten und wo werden diese gespeichert (nur lokal oder auch in der Cloud)? Viele Devices arbeiten mit Gesichts-, Sprach- und Fingerabdruckerkennung oder nehmen Bilder und Videos von Ihrem Haus, Ihrer Familie, Ihren Kindern auf. Fragen Sie sich, ob ein Gerät wirklich all diese Informationen benötigt.
  • Seien Sie sich der Angriffsfläche bewusst. So beträgt die Reichweite (und damit auch die Angriffsfläche) von Bluetooth-Verbindungen fünf bis zehn Meter, bei einer WiFi-Verbindung sind es bis zu hundert Meter. Ein Gerät, das online über eine App gesteuert wird, kann potenziell von überall auf der Welt angegriffen werden.

In diesem Sinne: Frohe, besinnliche und vor allem sichere Weihnachtstage.

Über IoT Inspektor

IoT Inspector ist Europas führende Plattform für die automatisierte Sicherheitsanalyse von IoT-Firmware. Sie ermöglicht es nicht nur, auf effizienteste Weise Schwachstellen und Sicherheitsrisiken in der Firmware eines IoT-Geräts zu identifizieren, sondern diese mit Hilfe des integrierten Compliance Checkers auch auf die Erfüllung internationaler Sicherheitsstandards zu untersuchen. Weltweit wird der IoT Inspector von Unternehmen, Infrastrukturanbietern, Herstellern, Beratungsunternehmen und Forschern verwendet.


Anzeige

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

10 Antworten zu IoT Inspector und die 7.339 Schwachstellen unter dem Weihnachtsbaum

  1. chriscrosser sagt:

    IoT ist wirklich der größte mist, der seit einiger / längerer zeit auf dem markt ist!
    wer das noch nicht verstanden hat – dann gute nacht!
    und die empfehlung sich dafür noch ein eigenes netzwerk einzurichten (kopfschüttel)
    sagt ja auch schon einiges – also finger weg! von der grütze

  2. Dat Bundesferkel sagt:

    "Auch in diesem Jahr wird jede/r Deutsche im Durchschnitt 280 Euro für Weihnachtsgeschenke ausgeben."
    Klar, die Elite haut wieder mal zig tausende von Euros raus, Otto Normal bevorratet sich wegen des bevorstehenden harten Lockdowns mit Lebensmitteln und hat dafür gar kein Geld über.

    Ist ja wie beim "durchschnittlichen" Einkommen eines Bundesbürgers: Ein paar völlig überbezahlte Manager, ohne jegliche Haftung, reißen das Mittel nach oben, während die Masse für 1.500 Euro brutto beim Arbeitgeber buckeln geht.

    So verfälscht man Fakten. ^^

    Ansonsten ist das (natürlich) nur eine Pressemitteilung eines Anbieters, der ebenfalls sein Schlangenöl verkaufen möchte. Finde ich auch in Ordnung.

    IoT selber ist nicht per se schlecht – aber es gibt da ein paar unüberwindbare NoGo's für mich: Registrierung beim Anbieter der Geräte, Nutzung derer Infrastruktur.

    Ein Beispiel: Damals™ konnte man sich IP-Cams kaufen, die einen eigenen Webserver beinhalteten (meist hoffnungslos veraltet, teils unsicher, nicht wirklich aktualisierbar) – aber(!) – man konnte sie in seinem eigenen Netzwerk (VPN, VLAN, Netzwerksegment) laufen lassen und somit absichern.
    Jetzt kauft man sich 'ne IP-Cam (fast egal wo) und keine von denen hat einen eigenen Webserver. Jede setzt voraus, daß man sich mindestens beim Anbieter registriert (und dann gnädigerweise lokal einen Stream abgreifen kann) – aber in jedem Fall teilt man dem Anbieter völlig hemmungslos das Paßwort seines W-LANs mit. Ein Schelm, der Böses dabei denkt.

    Bei anderen IoT-Geräten ist es noch schlimmer, denn die verstecken sich besser und machen es weniger auffällig. Aber jedes von ihnen reißt ein riesiges Sicherheitsloch in das eigene Netzwerk.

    Natürlich sollte man diese Geräte nur in seinem ureigenen Netzwerk betreiben, abgesichert, ohne Zugriff auf Drittserver. Die braucht man einfach nicht, wirklich nicht. Hat man nie gebraucht, wird man nie wirklich brauchen. Die Notwendigkeit wurde rein künstlich geschaffen.

    • woodpeaker sagt:

      Stimme dir da zu was die technischen Argumente betrifft, nur lasse bitte deinen Sozialneid weg. Jeder wie er beliebt.
      Es wird immer welche geben die mehr haben als Andere. Punktum!

      • Dat Bundesferkel sagt:

        Es hat nichts mit Sozialneid zu tun, wenn man darauf hinweist, daß die sogenannten "Durchschnittszahlen" alles andere als repräsentativ seien.

        Und wenn Märchen dieser Art in einer Pressemitteilung auftauchen und als "Ist-Wert" hingenommen werden, beziehe ich dazu Stellung. Das lasse ich mir, verzeihe mir bitte, auch von niemandem untersagen. Um es mit Deinen Worten zu formulieren: "Punktum!".

  3. A. Nonym sagt:

    Als interessierter Laie habe ich Probleme die Meldungen von IT-Security-Firmen richtig einschätzen zu können. Wenn man für das Ausnutzung einer Schwachstelle mehrere Drähte an den Debug-Ports anlöten muss, ist das sicher eine gute Leistung der Forscher, aber für andere nicht (aus der Entfernung) ausnutzbar.

    Dagegen sind Schwachstellen der TCP-Implementierung ein Desaster.

    (Aber Daten in die Cloud des Herstellers zu schicken, ist ein No-Go.)

  4. Paul sagt:

    -"Bei einigen Geräten wird auch das WiFi-Passwort des Nutzers im Klartext gespeichert"

    Emm, wie, ohne z.B. Radiusserver, soll man sich denn sonst
    an einem einfachen heimischen WLAN (neu) anmelden?
    Auch Windows speichert das WLAN-Passwort m.W. bestenfalls "verschleiert".
    Aber um daran zu kommen muß ich in die Kiste kommen.

    Problematisch ist, das manche IoT das Passwort -im defakto klartext- durch die, für jeden in der Nähe sichtbaren, WLAN-Paketlänge codiert auf die Endgeräte zur Konfuguartion übertragen.
    Ist vielleicht das gemeint?

    +"Verwenden Sie lange Passwörter für WiFi und diese nur für WiFi, für nichts anderes"

    +" Verwenden Sie den Stuben funk auf 5Gz. dessen Reichweite ist, physikalisch bedingt deutlich geringer"

    +"Melden Sie Ihre Geräte per WPS an damit sie sich nicht gebervt das lange Passwort durch ein Kurzes ersetzen".
    +"Aktivieren Sie WPS nur für den Moment der Konfiguration des neuen Gerätes"
    Ja, das ist lästig. Mehr Sicherheit bringt seltem mehr Komfort.

    "+Verwenden Sie WLAN-Accesspoints, die mehrere virtuelle Netze aufspannen und mehrere SSIDs erlauben..

    +"Legen sie Ihre IoT-Geräte (je…)in ein eigenes Netz/SSID"

    +"Verschlüsseln Sie Ihre Daten zwischen den Geräten durch lokale VPNs"

    -"Prüfen Sie, ob der Hersteller regelmäßige Firmware-Updates (vorzugsweise automatisch) zur Verfügung stellt."

    "vorzugsweise automatisch"?
    Hallo? SunBust? Dann muß das Teil freien Zugang zum Netz haben…

    "Ändern Sie sofort das Passwort, falls das Gerät mit einem Standardpasswort ausgeliefert wird."
    … und prüfen Sie welches Passwort nach einem Stromausfall erwartet wird.
    (BTST!)

    "Kaufen Sie kein Gerät das nicht als erstes die Eingabe eines neuen Passwortes verlangt"

    "Finden Sie heraus, wie viele persönliche Informationen und Daten Sie einem Gerät zur Verfügung stellen. "

    Hey toll, und wie soll der Laie das machen?
    Die Corona App braucht des Standort zugriff, weil sie BT machen will und damit gucken könnte welche SSIDs in der Nähe sind und mittels dieser den Standort bestimmen könnte.
    (aber nicht macht, derzeit.)

    Früher habe ich mal einen riesen Schreck bekommen, als ich bei der Benutzung eines Video-Players meine eMail adresse im TCP-Dump sah. Das ging da damals nur http gemacht wurde. Aber heute ist alles verschlüsselt. no chance.
    "Ja hättest Du beim Installieren besser aufpassen müssen, da ist ein Dialog, da stimmt man diesem Datenverkehr zu". Ja, da ist so ein Dialog,
    der wurde aber erst beim 2. Start sichtbar, da war meine eMail adresse längt beim Anbieter.

    "Fragen Sie einen Fachmann" :-)

  5. Paul sagt:

    -"So beträgt die Reichweite (und damit auch die Angriffsfläche) von
    Bluetooth-Verbindungen fünf bis zehn Meter, bei einer
    WiFi-Verbindung sind es bis zu hundert Meter. "

    BT kann auch auf über über 100m angegriffen werden. "Nur" eine Frage der Antenne.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.