Gefährden IoT-Geräte mit eingebauten "Radio-Chips" die IT-Sicherheit

Sicherheit (Pexels, allgemeine Nutzung)[English]Interessanter Aspekt, über den ich kürzlich gestolpert bin. Es geht um die Frage, wie Internet of Things (IoT) Geräte die IT-Sicherheit bedrohen. Denn neben oft gravierenden Schwachstellen in deren Firmware sowie fehlende Updates nach kurzer Zeit gibt es eine weitere Problemstelle. Viele Geräte haben WLAN- oder Bluetooth-Chips eingebaut, ohne dass die Nutzer beim Verkauf darauf hingewiesen wurden. Die nächste Sicherheitsbaustelle tut sich auf.


Anzeige

Immer mehr Internet of Things (IoT) Geräte finden ihren Weg in das Umfeld von Privatanwender und Unternehmen. Da gibt es die Überwachungs- und Sicherheitskameras, die fleißig Daten an den Hersteller übermitteln, und gleichzeitig über Schwachstellen offen für einen Zugriff Dritter sind. Vom Smart TV über intelligente Lautsprecher wie Amazons Alexa bis hin zu Türklingeln oder IoT-Funktionen Haushaltsgeräten sind die Teile zu finden. Selbst Heizungen werden mit so etwas ausgestattet. Und der Saugroboter, der durch die Wohnung wieselt, ist ein vorzügliches Spionage-Tool.

Dass die Sicherheit ein Stiefkind darstellt, ist kein wirklichen Geheimnis mehr. Firmware mit gravierenden Sicherheitslücken, fehlende Updates, die Geräte für Angreifer übernehmbar machen oder quasi Jedem einen Zugriff ermöglichen, oder abgeschaltete Server des Herstellers, die die IoT-Geräte unbrauchbar machen, kamen in näherer Vergangenheit häufig vor. Auch die Versorgung mit Firmware-Updates, um Schwachstellen zu beheben, ist oft nicht gegeben. Es gibt zwar jetzt ein Gesetz, was eine entsprechende EU-Regel umsetzen will – ob und wann das greift, steht in meinen Augen aber in den Sternen.

Radio-Chips öffnen neue Angriffsvektoren

Über diesen Blog-Beitrag bin ich die Tage erneut auf eine Gefahr aufmerksam geworden, die viele Nutzer nicht auf dem Radar haben. Rob Braxman schreibt, dass viele IoT-Geräte heutzutage Kommunikationschips, beispielsweise für Bluetooth, eingebaut haben. Und die Leute richten die Bluetooth-Communikation zwischen Wearables und ihren Smartphones ein.

Vielen Nutzern ist aber nicht bewusst, dass diese IoT-Geräte unbemerkt untereinander kommunizieren können. Wer weiß schon genau, was ihre IoT-Geräte tun und welche Kommunikation mit Dritten läuft. Ich hatte hier im Blog bereits den einen oder anderen Beitrag zum Thema (siehe z.B. Strava zeigt Fremden unter Umständen persönliche Daten).

Braxman schreibt, dass dass die Geräte häufig eine unbemerkte oder vom Benutzer ungewollte geheime Kommunikationen mit anderen IOT-Geräten aufbauen. Dass passiert über Protokolle wie Bluetooth LE, Zigbee, Thread, 802.15 und LoRa. Vielen Nutzern ist das unbekannt, da es den Käufern beim Erwerb dieser Geräte nicht erklärt oder mitgeteilt wird, teilweise steht es nicht mal in der Anleitung der Geräte.

Braxman nennt den Fall, dass Amazon Echo dazu gebracht wurde, mit dem Amazon Sidewalk Mesh-Netzwerk zu arbeiten und schreibt, dass andere Netzwerke in Betrieb genau so etwas ermöglichen und meint, dass viele dieser Möglichkeiten in der Breite der Nutzerschaft völlig unbekannt seien. Braxman stellt die Frage, ob wir über diesen Weg die nächste Welle an Cyber-Angriffen erlegen werden und verlinkt am Ende des Beitrags auf Geräte, mit denen man die Kommunikation untersuchen und/oder stören könnte.

Der Artikel erhält am Anfang ein Video von Braxman, in dem er auf die Themen eingeht. Die Fragestellungen, die er angerissen hat, sind schon von Interesse. Vor allem ist der IoT-Ansatz beim Kauf von Geräten kritisch zu hinterfragen. Die Leute holen sich seit Jahren Sicherheitslücken über Kameras, Fitness-Tracker, intelligente Lautsprecher, Türklingeln, Smart TV-Geräte und inzwischen auch über Autos und Fernsteuerungen in das eigene Umfeld, die uns noch böse auf die Füße fallen werden.

Ähnliche Artikel:
Sicherheitsrisiko Internet of Things (IoT)
IoT-Geräte für 32,82% der Infektionen verantwortlich
IT-Sicherheit: Alles kaputt?
Unterminieren Führungskräfte die IT-Sicherheit?
Peloton: Nutzerdaten standen offen im Netz
FSB-Auftragnehmer gehackt – IoT-Hacking-Projekt entdeckt
IoT: Nachholbedarf bei der Sicherung des Smart Homes
Fitness-Tracking-Seite Polar Flow zeigt kritische Nutzerdaten von Geheimnisträgern
Strava zeigt Fremden unter Umständen persönliche Daten
Amazons Alexa geknackt, zahlreiche Sicherheitslücken
Erkenntnis: Millionen IoT-Geräte ganz einfach hackbar
Fetter DDoS-Angriff– aber Technikproblem bei T-Mobile USA – Ripple20-Bug gefährdet IoT
BSI-Studie: Sicherheitslücken bei Medizinprodukten (2020)
Gafgyt Botnet-Familie zielt auf D-Link, Citrix und IoT
Video Encoder für HiSilicon-Chips (Huawei) mit schweren Sicherheitslücken
Bug in Thales-Modulen gefährdet Sicherheit von Millionen Connected-Devices
IoT Inspector und die 7.339 Schwachstellen unter dem Weihnachtsbaum
Amnesia:33 – Schwachstelle im TCP/IP-Stack gefährdet viele IoT-Geräte
Abgelaufene Zertifikate kicken IoT-Geräte ins Abseits
BadAlloc: Kritische Bugs in IoT-Geräten und in OT-Systemen gefunden
Nationale Sicherheit: USA verbannen IoT-Produkte von fünf OEM-Herstellern
Sicherheitslücke in Amazon FreeRTOS IoT-Betriebssystem
Malware in 725 Ruby-Bibliotheken gefunden


Anzeige


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Geräte, Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

3 Antworten zu Gefährden IoT-Geräte mit eingebauten "Radio-Chips" die IT-Sicherheit

  1. janil sagt:

    Die Dimension bzw. die Auswirkungen sind ja, hm atemberaubend, sprachlos. Nach dem Lesen des Beitrags bin ich auch der Meinung, das es nur eine Frage der Zeit ist, bis da was passieren wird und es wird nichts kleines sein. Kann man diese Geräte – Kommunikation eigentlich sicher machen? Alleine die ganze moderne Autoflotte… Irgendwie gruselt es mich…
    Trotzdem allen einen schönen Sonntag!

  2. Anonymous sagt:

    Ich kaufe nichts mehr auf das ich nicht selber eine andere Firmware aufspielen kann. WLAN Router kaufe ich auch nur wenn OpenWRT darauf läuft!

    Ein Grund mehr warum mir auch kein Kabelinternet mehr in die Tüte kommt. Bei DSL kann ich wenigstens noch ein dummes Modem anschließen und den Rest selber machen. Das hat natürlich auch Nachteile. Ich habe halt nicht nur eine Fritzbox oder einen Speedport an der Wand. Ich habe da halt leider ein Modem, eine Firewall, ein Switch und WLAN Accesspoints.

    So auch bei Multiroomaudio da nehme ich den Logitech Media Server und mehrere Rasperry Pi Zerro mit PiCorePlayer drauf. Die wiederum schließe ich dann halt an Receiver oder CD-Radio an. Ist halt auch wieder mehr Kram der da rumfährt und nicht ganz so einfach einzurichten wie das Sonos Zeug. Aber letztlich nachhaltiger und vorallem oft auch einfach sehr viele vielseitiger.

    Schwer ist das dann halt beim Smartphone oder auch dem LTE/5G Router. In vielen LTE/5G Routern läuft eigentlich ein Modem das wiederum ein eigenständiger kleiner Computer mit Android ist! Ja da wird einem dann auch ganz anders! Gut beim LTE/5G Router kann ich das WLAN deaktivieren und dann wiederum mit einer Firewall dahinter arbeiten aber irgendwann wird es dann schon sehr anstrengend.

    IoT kommt mir fertig von irgendeinem Hersteller so nicht in Haus bzw. wenn dann in ein eigenes Netzwerksegment dem ich soviel wie dem Internet vertraue. Auf der anderen Seite gerade bei IoT kann man sehr viel selber machen. Mit einem Raspberry Pi und ein paar Solid State Relais kann man schon das eine oder andere anstellen. Ist dann halt nicht mehr so plug and play.

    Ich verstehe sowieso nicht warum eigentlich jeder mein er müsse eine eigene Cloud betreiben können oder IoT müsse plug and play sein. Das ist halt nunmal kompexes Zeug und da braucht es halt Leute die sich damit auskennen. Autos darf man doch auch nicht einfach selber bauen und dann damit rumfahren. Ja ich weiß in manchen US Staaten darf man das schon ;)

  3. kOOk sagt:

    Vor Jahren irgendwo aufgeschnappt: IoT ist das Asbest des 21. Jahrhunderts. Passt schon :-).

Schreibe einen Kommentar zu Anonymous Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.