Kaspersky hilft bei Schwachstellenbeseitigung in Smart Home Controller

Kaspersky-Forscher haben mehrere kritische Schwachstellen in einem Smart Home Controller identifiziert [1]. Dazu gehören Bugs in der Cloud-Infrastruktur sowie eine mögliche Remotecodeausführung, die Dritten einen Superuser-Zugriff auf den Controller ermöglichen würde – die Smart-Home-Infrastruktur könnte damit manipuliert werden. Die Ergebnisse wurden an den Anbieter FIBARO weitergegeben, der die Schwachstellen bereits beseitigt und Updates für Nutzer zur Verfügung gestellt hat.

Mit der Zunahme an IoT- (Internet of Things) Geräten entstehen auch neue Bedrohungen. Die Sicherheitsprobleme werden im Praxiseinsatz schnell sichtbar: So beauftragte ein Kaspersky-Mitarbeiter und Smart-Home-Besitzer seine Kollegen aus der Forschungsabteilung, die eingesetzten Systeme zu untersuchen. Hierfür gewährte er ihnen Zugang zum Smart Home Controller, der die Smart-Home-Komponenten miteinander verbindet und überwacht. Das beunruhigende Testresultat: Ein erfolgreicher Angriff  würde es Cyberkriminellen ermöglichen, in das gesamte System des Hauses einzudringen. Mögliche Konsequenzen: Spionage, Diebstahl, physische Schäden.

Die Sicherheitsexperten identifizierten in ihrer Analyse die folgenden potentiellen Angriffsvektoren:

• das drahtlose Kommunikationsprotokoll Z-Wave, das häufig für die Heimautomatisierung verwendet wird;
• die Weboberfläche des Administrationspanels;
• die Cloud-Infrastruktur.

Letzteres erwies sich als am effektivsten für Angriffe: Eine Untersuchung der Methoden zur Verarbeitung von Anforderungen vom Gerät ergab eine Sicherheitslücke im Autorisierungsprozess und das Potenzial für die Remotecodeausführung.

Zusammen ermöglichen diese Vektoren Dritten den Zugriff auf alle Backups, die von allen FIBARO Home Centern Lite in die Cloud hochgeladen wurden, sowie den Upload infizierter Backups in die Cloud und den Download auf einen bestimmten Controller – und das trotz fehlender Rechte in das System.

Abschließend führten die Kaspersky-Experten einen Testangriff auf den Controller durch. Dazu erstellten sie ein spezielles Backup mit einem separat entwickelten Skript, das mit einem Kennwort geschützt war. Danach schickten sie eine E-Mail und eine SMS-Nachricht über die Cloud an den Nutzer des Geräts und forderten ihn auf, die Firmware des Controllers zu aktualisieren; heruntergeladen wurde jedoch das infizierte Backup. Dadurch erhielten die vermeintlichen Angreifer Superuser-Rechte für den Smart Home Controller und konnten so das verbundene Ökosystem manipulieren. Ihr erfolgreiches Eindringen zeigten die Forscher, indem sie die Melodie des Weckers änderten – der Kollege wachte zu Drum-and-Bass-Musik auf.

„Im realen Leben ist es eher unwahrscheinlich, dass sich ein echter Angreifer mit Zugang zum Heimzentrum auf einen Streich mit dem Wecker beschränkt“, mahnt Pavel Cheremushkin, Sicherheitsforscher bei Kaspersky ICS CERT. „Eine der Hauptaufgaben des von uns untersuchten Geräts ist die Integration smarter Dinge, damit der Hauseigentümer alle Komponenten zentral aus seinem Heimzentrum aus verwalten kann. Ein wichtiges Detail ist, dass unsere Sicherheitsbewertung auf ein tatsächlich eingesetztes System abzielte. Noch wichtiger: die von uns untersuchten Geräte wurden via Massenproduktion hergestellt und in funktionierenden Smart-Home-Netzwerken eingesetzt. Bisher wurde der Großteil der Forschung unter Laborbedingungen durchgeführt. Trotz eines wachsenden Bewusstseins für die IoT-Sicherheit gilt es noch einige Probleme zu lösen. Wir danken FIBARO für den verantwortungsvollen Umgang mit den enthüllten Schwierigkeiten, da wir wissen, dass sie sich auf Cybersicherheit konzentrieren und das Zuhause unseres Kollegen nun viel sicherer ist als vor der Untersuchung.“

„IoT-Infrastruktur erfordert ein kompliziertes System, das auf vielen Ebenen reibungslos funktionieren muss. Es beinhaltet viele Implementierungs- und Architekturarbeiten“, erklärt Krzysztof Banasiak, CPO FIBARO. „Wir danken Kaspersky für seine Forschung und Unterstützung. Es hat uns geholfen, an der Sicherheit unserer Produkte und Dienstleistungen zu arbeiten – wir haben gemeinsam potenzielle Schwachstellen beseitigt. Wir empfehlen FIBARO-Nutzern dringend, die Updates zu installieren und immer zu überprüfen, ob die E-Mails mit den Ankündigungen der FIBARO-Website übereinstimmen. Die Updates erhöhen die Funktionalität des Systems und machen es Hackern schwerer, private Daten zu stehlen.“

Kaspersky-Tipps für ein sicheres Smart Home

• Vor dem Kauf eines IoT-Gerätes überprüfen, ob es Informationen zu Sicherheitslücken gibt.
• Neue Produkte können Sicherheitsprobleme aufweisen, die von Sicherheitsforschern noch nicht entdeckt wurden. Daher empfiehlt es sich, Produkte zu kaufen, die bereits mehrere Software-Updates erhalten haben.
• Auf allen verwendeten Geräten regelmäßig Sicherheits- und Firmware-Updates installieren.
• Eine umfassende Sicherheitslösung wie Kaspersky Security Cloud [2] schütze Online-Konten und WiFi-Heimnetze: Der Nutzer wird benachrichtigt, wenn unerwünschte Gäste versuchen, eine Verbindung herzustellen, und unterstützt diesen mit einer fachmännischer Beratung für das Ergreifen von Maßnahmen, sollte dies erforderlich sein.

Weitere Informationen sind im Blog „How we hacked our colleague’s smart home“ verfügbar unter https://securelist.com/fibaro-smart-home/91416/

[1] https://securelist.com/fibaro-smart-home/91416/

[2] https://www.kaspersky.de/security-cloud

Nützliche Links:

• Kaspersky-Analyse „How we hacked our colleague’s smart home“: https://securelist.com/fibaro-smart-home/91416/
• Kaspersky Security Cloud: https://www.kaspersky.de/security-cloud