Wir hacken eine smarte Handprothese, bevor es andere tun

Auf dem MWC 2019 in Barcelona präsentierten unsere Experten eine Studie über die Sicherheit der Smart-Prothesen von Motorica.

„Das S in IoT steht für Sicherheit“ – hierbei handelt es sich vermutlich um einen der mit Abstand bekanntesten Witze im Bereich der Informationssicherheit der vergangenen Jahre. Warum, können Sie sich höchstwahrscheinlich denken. Tatsächlich machen sich Sicherheitsexperten bereits seit einiger Zeit über das Internet der Dinge lustig, und auf so gut wie jeder erwähnenswerten Hacker-Konferenz kommt ein Smart-Gerät zur Sprache, das wieder einmal auf verrückte Art und Weise gehackt werden konnte. Experten haben sich bereits so sehr an dieses Szenario gewöhnt, dass sie vollkommen überrascht sind, wenn das Gegenteil eintritt und eines dieser intelligenten Gadgets vergleichsweise sicher ist.

Normalerweise konzentriert sich die Forschung auf IoT-Schwachstellen, die eine Bedrohung für Nutzer darstellen. Aber jede Münze hat zwei Seiten: Schwachstellen in Smart-Geräten können auch für ihre Entwickler gefährlich werden und zu Datenlecks bzw. -schäden führen, die Infrastruktur stören oder die Geräte selbst vollkommen nutzlos machen.

Auf dem MWC19 in Barcelona präsentierten die Experten unseres „Industrial Control Systems Cyber ​​Emergency Response Teams“ (ICS CERT) einen Bericht über Smart-Prothesen von Motorica.

Beginnen wir zunächst mit den guten Nachrichten: Unsere Experten konnten keine Schwachstellen in der Firmware der Prothesen selbst ausfindig machen und auch die Daten, die Motorica behandelt, fließen lediglich in eine Richtung – nämlich von der Prothese in die Cloud. Das bedeutet, dass es zum Beispiel nicht möglich ist, eine mit dem Internet verbundene Prothese zu hacken und diese fernzusteuern.

Eine nähere Untersuchung ergab jedoch einige schwerwiegende Mängel bei der Entwicklung der Cloud-Infrastruktur zur Sammlung und Speicherung von Telemetriedaten der Prothesen, die es Hackern ermöglichen:

  • Zugriff auf die Daten aller Systemkonten (Nutzer und Admin), einschließlich unverschlüsselter Benutzernamen und Passwörter, zu erlangen.
  • Alle in der Datenbank gespeicherten Telemetriedaten zu lesen, löschen und zu bearbeiten oder neue Einträge zu erstellen.
  • Neue Accounts hinzuzufügen (einschließlich Admin-Konten).
  • Bestehende Accounts zu löschen oder zu bearbeiten (so kann beispielsweise das Admin-Passwort geändert werden).
  • Eine DoS-Attacke gegen einen Administrator auszuführen und so den Zugriff auf das System zu blockieren.

Diese Schwachstellen können möglicherweise zur Beschädigung oder dem Leak von Nutzerdaten führen. Der vorletzte Punkt auf unserer Liste würde darüber hinaus die benötigte Reaktionszeit im Falle eines Hacks enorm erhöhen.

Natürlich haben unsere Forscher Motorica über alle entdeckten Schwachstellen informiert und mittlerweile konnten alle Probleme behoben werden. Leider handelt es sich hierbei lediglich um einen kleinen Sieg in der großen Schlacht, das Internet der Dinge sicher(er) zu machen. Folgende Dinge müssen sich in Zukunft definitiv ändern:

  • Entwickler sollten sich mit den häufigsten Bedrohungen und Best Practices für die Erstellung von sicherem Code vertraut machen. Dies ist in allen Entwicklungsstadien von entscheidender Bedeutung – unsere Untersuchung zeigt deutlich, dass Fehler bei der Erstellung eines Teils des Systems katastrophale Auswirkungen haben können.
  • Hersteller von Smart-Geräten sollten Bug-Bounty-Programme einführen, die besonders effektiv sind, um Schwachstellen zu finden und zu beheben.
  • Idealerweise sollten Produkte, die sich in der Entwicklung befinden, Sicherheitsbewertungen, die von Informationssicherheitsexperten durchgeführt werden, unterzogen werden.

Tipps