Tausende IoT-Schwachstellen unter dem Weihnachtsbaum

IoT Inspector warnt vor gefährlichen Sicherheitslücken in beliebten Geschenken

[datensicherheit.de, 09.12.2020] Nicht nur billige Ware aus Fernost sei von Schwachstellen betroffen – auch Produkte namhafter Hersteller wiesen „eklatante Sicherheitslücken“ auf, warnt aktuell IoT Inspector. Auch 2020 werde wohl jeder Deutsche im Durchschnitt 280 Euro für Weihnachtsgeschenke ausgeben. Gerne landeten dabei technische „Gadgets“ wie interaktives Spielzeug, smarte Haushaltsgeräte oder vernetzte Unterhaltungselektronik unter dem Weihnachtsbaum. IoT Inspector hat deshalb nach eigenen Angaben beliebte Artikel namhafter Hersteller (u.a. aus den USA und Deutschland) untersucht und sei zu erschreckenden Ergebnissen gekommen: „Jedes dieser Produkte verfügt über Hunderte von Schwachstellen, die Angreifern im schlimmsten Fall Zugang zu den Geräten ermöglichen.“ Die Angreifer seien dann in der Lage, auf private Netzwerke zuzugreifen, Daten zu stehlen, Geräte zu manipulieren oder gekaperte Geräte in ihre Botnets einzugliedern.

In 6 Produkten renommierter Hersteller insgesamt über 7.000 Schwachstellen gefunden

Security-Experten von IoT Inspector hätten einen fiktiven Geschenkkorb mit sechs Produkten renommierter Hersteller untersucht und dabei insgesamt über 7.000 Schwachstellen gefunden. „In den meisten Fällen kam veraltete Software mit bekannten Schwachstellen zum Einsatz, teilweise sogar in der neuesten Firmware-Version.“ Bei dieser Untersuchung seien jedoch auch bislang unbekannte Schwachstellen identifiziert und umgehend an die Hersteller gemeldet worden.
Zudem hätten die Spezialisten mangelhafte Wartungszugänge gefunden, die Angreifern eine Fernsteuerung des Geräts ermöglichten. Hierdurch könnten die Geräte im schlimmsten Fall ihre Besitzer ausspionieren oder als Waffe für Angriffe auf weitere Ziele eingesetzt werden.

WiFi-Passwort im Klartext: In Verbindung mit anderen Schwachstellen kann Passwort ausgelesen werden

„Zu unserem Erschrecken mussten wir feststellen, dass oft nicht einmal grundlegende Sicherheitsmaßnahmen eingehalten werden: So nutzen die Hersteller für ihre Firmware-Updates teilweise unverschlüsselte Transportwege. Cyber-Kriminelle können so den Datenverkehr umleiten und Malware in die Geräte einschleusen“, erläutert Rainer M. Richter, Geschäftsführer der IoT Inspector GmbH.
Bei einigen Geräten werde auch das WiFi-Passwort des Nutzers im Klartext gespeichert. In Verbindung mit anderen Schwachstellen könne das Passwort einfach ausgelesen werden, und Angreifer könnten sich dadurch unberechtigten Zugriff verschaffen. Richter: „Diese sind typische Gründe, weshalb die Schwachstellen von IoT-Geräten inzwischen zu einem der Haupteinfallstore für Angreifer zählen.“

Untersucht wurden folgende Geräte auf Schwachstellen:

• „Smart Speaker“ mit „Voice Control“ eines bekannten deutschen Herstellers: 1.634 Schwachstellen
• als „sicher“ beworbener „Messenger“ für Kinder eines weltweit führenden Lernspielzeug-Anbieters: 1.019 Schwachstellen
• Drohne eines der größten Anbieter in diesem Bereich: 1.250 Schwachstellen
• „Smart Home“-Kamerasystem eines US-amerikanischen Branchenriesen: 1.242 Schwachstellen
• Haustier-Überwachungskamera (häufig auch als Babycam verwendet): 643 Schwachstellen
• mit „größter Datensicherheit“ beworbenes Streaming-Device für Kinder: 1.551 Schwachstellen

Richter: „Uns war wichtig, nicht nur ‚No Name‘-Billigprodukte zu untersuchen, sondern zu zeigen, dass die Gefahren auch bei Produkten von renommierten Unternehmen lauern.“ Insgesamt müsse die ganze Branche endlich die Sicherheit von IoT-Geräten von Anfang an mitbedenken und umsetzen.

Schwachstellen weit verbreitet: Grundsätzlich bei IoT-Devices Vorsicht walten lassen

Grundsätzlich sollte man bei IoT-Devices Vorsicht walten lassen und für diese ein separates Netzwerksegment einrichten. Darüber hinaus sollten Käufer laut IoT Inspector folgende Tipps beherzigen:

• Prüfen Sie, ob der Hersteller eine Website hat! Viele Hersteller, die ihre Produkte auf den gängigen Online-Marktplätzen verkaufen, sind ominöse Anbieter ohne Internetpräsenz oder Kontaktmöglichkeit.
• Prüfen Sie, ob der Hersteller regelmäßige Firmware-Updates (vorzugsweise automatisch) zur Verfügung stellt!
• Ändern Sie sofort das Passwort, falls das Gerät mit einem Standardpasswort ausgeliefert wird!
• Finden Sie heraus, wie viele persönliche Informationen und Daten Sie einem Gerät zur Verfügung stellen! Wofür benötigt das Gerät diese Daten und wo werden diese gespeichert (nur lokal oder auch in der Cloud)? Viele Devices arbeiten mit Gesichts-, Sprach- und Fingerabdruckerkennung oder nehmen Bilder und Videos von Ihrem Haus, Ihrer Familie, Ihren Kindern auf. Fragen Sie sich, ob ein Gerät wirklich all diese Informationen benötigt!
• Seien Sie sich der Angriffsfläche bewusst. So beträgt die Reichweite (und damit auch die Angriffsfläche) von „Bluetooth“-Verbindungen fünf bis zehn Meter, bei einer WiFi-Verbindung sind es bis zu hundert Meter. Ein Gerät, das online über eine App gesteuert wird, kann potenziell von überall auf der Welt angegriffen werden.

Weitere Informationen zum Thema:

datensicherheit.de, 07.08.2020
IoT allerorten: Von Türklingeln über Aquarien bis zu Kernkraftwerken / Palo Alto Networks rückt Sicherheit der IoT in den Fokus und betont deren zentrales Merkmal der allgegenwärtigen Konnektivität

datensicherheit.de, 04.10.2019
IoT Inspector: Firmware von IoT-Geräten auf dem Prüfstand / Vorstellung auf der „it-sa 2019“ in Nürnberg