Wohnzimmer gehackt

So (un)sicher sind Home-Entertainment-Systeme

(Bild: Kaspersky)

Zur IFA in Berlin werden wieder unzählige neue mit dem Internet verbundene Geräte präsentiert. Doch vor allem mit dem Web verbundene Home-Entertainment-Systeme offenbaren zahlreiche Sicherheitsrisiken, wie ein Selbstversuch des Kasperky-Sicherheitsexperten David Jacoby in seinem Wohnzimmer zeigt.

Jacoby begutachtete für seinen Selbstversuch zwei NAS-Speicher-Systeme verschiedener Hersteller, ein Smart-TV-Gerät, einen Satelliten-Receiver, einen Router sowie einen internetfähigen Drucker. Allein die Speicher zeigten dabei 14 Sicherheitslücken, eine weitere entfiel auf das Smart-TV-Gerät. Außerdem stieß Jacoby auf zahlreiche versteckte Remote-Control-Möglichkeiten im Router, wie Kaspersky am Dienstag mitteilte.

NAS-Speicher gibt Passwörter preis
Die gefährlichsten Sicherheitslücken fand der Experte bei den NAS-Speichern. Potenzielle Angreifer können demnach aus der Ferne das System kompromittieren und eigenen Code mit Administratorenrechten ausführen. Zudem waren die voreingestellten Administratorpasswörter der Geräte nicht sicher, die Rechte vieler Konfigurationsdateien falsch eingestellt und Passwörter wurden im Klartext gespeichert. Das voreingestellte Administratorpasswort eines Geräts enthielt nur eine einzige Ziffer. Bei einem anderen Gerät konnte man über das Netzwerk auf die komplette Konfigurationsdatei mit den verschlüsselten Passwörtern zugreifen.

Jacoby gelang es durch Ausnutzung einer anderen Software-Schwachstelle, eigene Dateien in einen Speicherbereich zu laden, der normalerweise für die Anwender nicht zugänglich ist. Handle es sich um entsprechende Schadsoftware, könnte ein derart manipuliertes Gerät auch alle weiteren infizieren, die sich mit dem NAS verbinden – zum Beispiel einen Heimanwender-PC, warnte Jacoby. Ein infizierter NAS-Speicher wäre sogar für DDoS-Attacken eines Botnetzes nutzbar. Da die Malware in einem normalerweise nicht zugänglichen Speicherbereich liegen würde, könnte sie nur über dieselbe Schwachstelle wieder entfernt werden – was den durchschnittlichen Heimanwender überfordern dürfte, schätzt Jacoby.

Man-in-the-middle im Smart-TV
Bei der Analyse seines Smart-TV konnte der Kaspersky-Experte feststellen, dass dieser unverschlüsselt über das Internet mit den Servern des Geräte-Herstellers kommuniziert. Das öffnet laut Jacoby die Tür für potenzielle Man-in-the-middle-Attacken. Dabei schaltet sich ein Angreifer zwischen Smart-TV und Hersteller. Nutzen Anwender ihr Gerät für Online-Einkäufe, könnten damit Gelder direkt auf Konten von Angreifern transferiert werden. Als Beweisführung konnte Jacoby ein Icon des Herstellers auf der graphischen Oberfläche seines Smart-TV durch ein eigenes Bild ersetzen. Weiterhin stellte der Sicherheitsexperte fest, dass sein Smart-TV auch Java-Code ausführen kann. In Kombination mit dem Abfangen des Datenverkehrs zwischen Fernseher und Internet könnten so Attacken über Schwachstellen durchgeführt werden.

Router hat Spionage-Qualitäten
Der DSL-Router von Jacoby für den drahtlosen Zugang zum Internet hatte zahlreiche, für den Nutzer versteckte Features. Einige davon geben dem Internetprovider Zugriff auf jedes Gerät im Heimnetzwerk. Ursprünglich seien solche Features von den Providern eingebaut worden, um möglichst einfach technische Probleme auf Anwenderseite lösen zu können. Tatsächlich seien sie aber enorme Sicherheitsrisiken. Die Internetschnittstelle besteht demnach nur aus Websites mit alphanumerischen Adressen - mithilfe einer universellen Schwachstelle könnten Angreifer über eine einfache Manipulation der Nummern am Ende der Adresse zwischen den Funktionen hin und her wechseln.

"Sowohl Nutzer als auch Hersteller sollten die Sicherheitsrisiken kennen, wenn Geräte mit dem Internet verbunden sind", so Jacoby. "Außerdem sollte Anwendern klar sein, dass nur starke Passwörter wirklich sicher sind und es immer versteckte unkontrollierbare Features geben kann. Bei einem Gerät, das als sicher gilt und dies auch noch in seinem Namen ausdrückt, konnte ich innerhalb von nur 20 Minuten sehr ernste Sicherheitslücken entdecken. Welche Risiken würde da wohl erst eine groß angelegte Untersuchung zutage bringen?"

Das sei nur eine von vielen Fragen, die Gerätehersteller zusammen mit Sicherheitsexperten und Anwendern rasch diskutieren sollten. Eine andere Frage betrifft laut Jacoby die Lebensdauer der Geräte. "Aus Gesprächen mit Herstellern weiß ich, dass einige keine Sicherheitsupdates mehr zur Verfügung stellen, sobald eine neue Gerätegeneration auf den Markt kommt. Bei NAS ist das zum Beispiel alle ein oder zwei Jahre der Fall, die Speicher werden jedoch viel länger genutzt."

Sicherheits-Tipps für internetfähige Geräte
Um internetfähige Geräte möglichst keinen Angriffen auszusetzen, sollten Anwender daher laut Kaspersky die folgenden Tipps beachten:

• Alle Geräte immer mit den neuesten Sicherheits- und Firmware-Updates versehen,

• voreingestellte Benutzernamen und Passwörter durch sichere Kennwörter ersetzen

• sowie alle Möglichkeiten nutzen, den Netzwerk-Zugriff auf die Geräte einzuschränken. So benötigt etwa ein Drucker keinen Zugriff auf ein TV-Gerät.