Einfallstor für Hacker

Gravierende Lücken in Smart-Home-Geräten

(Bild: ©Stockwerk-Fotodesign - stock.adobe.com)

Forscher des Sicherheitsanbieters ESET haben in drei beliebten Smart-Home-Kontrollzentralen gravierende Sicherheitslücken entdeckt. Über die Schwachstellen könnten Angreifer unter anderem ihre Opfer belauschen, sensible Daten stehlen oder Hintertüren öffnen, warnte das Unternehmen. Im schlimmsten Fall schafften es Hacker, über die Schaltzentralen die umfassende Kontrolle über das jeweilige Smart-Home zu erlangen.

ESET hatte bereits 2018 die betroffenen Hersteller informiert, die umgehend mit Sicherheits-Updates reagiert haben. Da Updates händisch bestätigt werden müssen, sei jedoch von einer großen Anzahl ungepatchter Geräte auszugehen, die immer noch über die bekannten Schwachstellen verfügten, so der Sicherheitsanbieter am Mittwoch in einer Mitteilung. Nutzern wird daher dringend empfohlen, die betroffenen Geräte „zeitnah“ zu aktualisieren.

„Sicherheitslücken in IoT-Geräten („Internet of Things“, Anm.) sind ein weit verbreitetes und vielfach noch immer unterschätztes Problem. Mängel in den Einstellungen sowie die fehlende Verschlüsselung oder Authentifizierung treten nicht nur bei billigen Low-End-Geräten auf. Leider krankt auch High-End-Hardware sehr oft daran“, so ESET-Spezialist Ondrej Kubovic.

(Bild: eq-3.com)

Homematic CCU2
Die zentrale Steuereinheit des Smart-Home-Systems von eQ-3 zeigte während des Tests einen schwerwiegenden Sicherheitsmangel. Angreifer hätten als Root-Benutzer eine nicht authentifizierte Remote-Code-Ausführung durchführen können. Mit entsprechenden Shell-Befehlen wäre der volle Zugriff auf die Schaltzentrale und auch auf angeschlossene Peripheriegeräte möglich gewesen.

Da eQ-3 mit seinen Eigenmarken und OEM-Produkten einen Anteil von 40 Prozent installierten Basis aller „Whole-Home-Systeme“ in Europa besitzt, hat diese Sicherheitslücke dem Sicherheitsanbieter nach eine enorme Relevanz.

(Bild: elkoep.com)

RF-Box eLAN-RF-003
Auch die Zentraleinheit RF-Box eLAN-RF-003 wies in der Analyse des Unternehmens deutliche Schwachstellen auf. Die Sicherheitsexperten testeten das Gerät zusammen mit zwei Peripheriegeräten desselben Herstellers: einer drahtlos dimmbaren LED-Birne und einer dimmbaren Fassung. Eine unzureichende Befehlsauthentifizierung hätte es ermöglicht, dass Hacker alle Befehle ohne Anmeldung hätten ausführen können. Zudem zeigte sich, dass die Funkkommunikation mit Peripheriegeräten anfällig war für spezielle Netzwerkattacken, sogenannte „Record and Replay“-Angriffe.

(Bild: fibaro.com)

Fibaro Home Center Lite
Der Home-Automation-Controller soll eigentlich die Peripheriegeräte im Smart-Home steuern. Zahlreiche gravierende Schwachstellen hätten jedoch zum Super-GAU führen können, so ESET. Angreifer wären demnach in der Lage gewesen, eine Hintertür zu erstellen, Schadcode auszuführen und letztlich die volle Kontrolle über das Zielgerät zu erlangen.