Aktuelles, Branche, Gastbeiträge - geschrieben von cp am Montag, Januar 28, 2019 18:19 - noch keine Kommentare
Risiko IoT-Apps: Verwundbarkeit der Dinge durch Anwendungsschwachstellen
IoT-Gerätehäufig mit Softwareschwachstellen
Von unserem Gastautor Klaus Gheri, Vice President & General Manager Network Security bei Barracuda Networks
[datensicherheit.de, 28.01.2019] Sei es der Kühlschrank, der meldet, wenn die Milch alle ist, oder der Thermostat, der Nutzungsstatistiken aufs Smartphone sendet – verschiedenste Produkte, die traditionell nicht über eine Netzwerkverbindung verfügten, werden mittlerweile damit ausgestattet. Abgesehen von Computer, Telefon, Tablet oder Router gilt grundsätzlich jedes Endanwender-Gerät, das sich mit einem Netzwerk verbinden kann, als IoT-Device. Zu den größten Problemen dieser Entwicklung zählen jedoch immer noch die vielen Sicherheitslücken der Geräte. Zwar bemühen sich Hersteller mittlerweile um Verbesserungen, zugleich zeigen sich neue Bedrohungen wie die Kompromittierung von Anmeldeinformationen durch Schwachstellen in Web- und Mobil-Applikationen bestimmter IoT-Devices.
Derlei gestohlene Anmeldedaten ermöglichen es Angreifern, sich beispielsweise den Videofeed einer IoT-Überwachungskamera anzeigen zu lassen, Alarme zu setzen, zu empfangen oder zu löschen, gespeicherte Videoclips aus dem Cloud-Storage zu entfernen sowie Kontoinformationen auszulesen. Darüber hinaus können Kriminelle die Anmeldedaten auch dazu nutzen, um ihr eigenes Firmware-Update auf das IoT-Gerät zu übertragen, seine Funktionalität zu ändern und mit dem kompromittierten Gerät, andere Geräte im selben Netzwerk anzugreifen.
Klaus Gheri, Vice President & General Manager Network Security bei Barracuda Networks
Schwachstellen-Test: Die unsichere Security-Kamera
Um diese Art Bedrohung zu veranschaulichen, hat das Sicherheitsteam von Barracuda eine IoT-Überwachungskamera untersucht und eine Vielzahl von Schwachstellen in der Web-Applikation sowie dem Ökosystem der mobilen Anwendungen der Kamera identifiziert. Hierzu zählen:
- Die mobile App ignoriert die Gültigkeit des Serverzertifikats
- Cross-Site Scripting (XSS) in der Web-Applikation
- Datei-Übertragung in einen Cloud-Server
- Der Benutzer steuert den Link zum Aktualisieren des Geräts
- Geräte-Updates werden nicht signiert
- Das Gerät ignoriert die Gültigkeit des Serverzertifikats
Mithilfe dieser Schwachstellen konnte das Barracuda-Sicherheitsteam zwei Angriffsarten durchführen, um Anmeldeinformationen abzugreifen und das IoT-Gerät zu kompromittieren – und das ohne direkte Verbindung zum Gerät selbst.
Angriff 1: Diebstahl von Zugangsdaten aus der mobilen App
Gelingt es einem Angreifer, den Datenverkehr mit der mobilen App über ein kompromittiertes Netzwerk abzufangen, kann er das Benutzerpasswort problemlos abgreifen. Der Ablauf des Angriffs ist wie folgt:
- Das Opfer verbindet sich mit seinem Mobiltelefon mit einem kompromittierten Netzwerk.
- Die IoT-App wird versuchen, sich über https mit den Servern des Herstellers zu verbinden.
- Das kompromittierte Netzwerk leitet die Verbindung zum Server des Angreifers weiter, der sein eigenes SSL-Zertifikat verwendet und die Kommunikation zum Server des Anbieters vorgaukelt.
- So erhält der Server des Angreifers einen ungesalzenen MD5-Hash des Benutzerkennworts.
- Zudem kann der Angreifer auch die Kommunikation zwischen dem Server des Anbieters und der App manipulieren.
Angriff 2: Zugangsdatendiebstahl von der Webanwendung
Dieser Angriff nutzt die Funktionen aus, die es Benutzern ermöglichen, den Gerätezugriff auf die IoT-Überwachungskamera mit anderen Benutzern zu teilen. Um ein Gerät gemeinsam nutzen zu können, muss der Empfänger über ein gültiges Konto beim IoT-Anbieter verfügen und der Absender den Benutzernamen des Empfängers kennen. Bei der getesteten IoT-Überwachungskamera entsprach der Benutzername der E-Mail-Adresse. Cyberkriminelle würden bei einem Angriff folgendermaßen vorgehen:
- Der Angreifer bettet einen XSS-Exploit in einen Gerätenamen ein und teilt dieses Gerät dann mit dem Opfer.
- Sobald sich das Opfer mit der Webanwendung in sein Konto einloggt, wird der XSS-Exploit ausgeführt und teilt das Zugriffstoken, das als Variable in der Webanwendung gespeichert ist, dem Angreifer mit.
- Mit dem Zugriffstoken kann der Angreifer anschließend auf das Konto des Opfers und alle registrierten Geräte zugreifen.
Die Schwachstellenanalyse zeigt, wie Angreifer ein IoT-Gerät ohne direkte Verbindung zum Gerät selbst kompromittieren können. Das erleichtert Cyberkriminellen das Leben: Kein Scannen nach anfälligen Geräten mehr auf der IoT-Suchmaschine Shodan. Stattdessen zielt der Angriff auf die Infrastruktur des IoT-Herstellers.
Diese Art Bedrohung kann verschiedenste IoT-Devices betreffen, da sie die Art und Weise nutzt, wie das Gerät mit der Cloud kommuniziert. Mit der Verlagerung des Zugriffs sowie der Zugriffskontrollen für IoT-Geräte auf Cloud-Dienste sind die oben gezeigten neuen Schwachstellen und Angriffsvarianten hinzugekommen. So steht und fällt die Sicherheit des Internet of Things nicht nur mit den Sicherheitsvorkehrungen für die Geräte selbst, sondern mit der Entwicklung und genauen Schwachstellenanalyse von Prozessen.
Weitere Informationen zum Thema:
datensicherheit.de, 15.01.2019
IoT-Sicherheit ist das Thema für die Chefetage
datensicherheit.de, 11.12.2018
2019: IoT, OT und Collaboration sind Top-Themen
datensicherheit.de, 09.08.2018
Ransomware: Zahlungsbereitschaft von Unternehmen stark gestiegen
datensicherheit.de, 28.06.2018
Ransomware der Dinge: Das IoT-Gerät als Geisel
Aktuelles, Experten - Dez 11, 2024 21:16 - noch keine Kommentare
„Power Off“: BKA meldet internationale Anti-DDoS-Operation gegen Stresser-Dienste
weitere Beiträge in Experten
- vzbv-Stellungnahme zum Forschungsdatenzugang: Mehr Transparenz auf digitalen Plattformen gefordert
- Bitkom artikuliert vorab Bedenken: KI-Stellungnahme des EDSA noch im Dezember 2024 erwartet
- Verbraucherzentrale reicht nach BGH-Urteil zu facebook-Datenleck Sammelklage ein
- Vorratsdatenspeicherung in Dauerschleife: eco fordert endlich klare Linie zum Schutz der Grundrechte
- Crimenetwork: BKA und ZIT gelang Abschaltung
Aktuelles, Branche, Studien - Dez 11, 2024 21:25 - noch keine Kommentare
Deepnude AI Image Generator: Cyber-Kriminelle lockten Opfer mit speziellem Köder
weitere Beiträge in Branche
- Mitarbeiterverhalten: CyberArk-Studie 2024 deckt Sicherheitsrisiken auf
- KnowBe4 veröffentlicht Phishing-Trends im dritten Quartal 2024 – QR-Code-Phishing auf dem Vormarsch
- Banken müssen Cyber-Bedrohungslandschaft mit fortschrittlicher Sicherheitsstrategie begegnen
- KI-basierte Deepfakes zur effektiven Täuschung als Angriffsvektor etabliert
- Finanzsektor: Digitalisierung und Cloud bieten idealen Nährboden für Cyber-Angriffe
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren