Smart Home

Smart Home – gar nicht so smart

Unsere GReAT-Experten haben eine riskante Schwachstelle in einer App zur Smart-Home-Steuerung gefunden. Angreifer hätten damit Sicherheitssysteme deaktivieren können.

GReAT
30 Mai 2025

Smart Homes sind inzwischen nichts mehr aus Science-Fiction-Filmen der späten 90er. In Großstädten gehören sie heutzutage für viele Menschen zum Alltag. Intelligente Steckdosen, Lautsprecher und Fernseher findet man praktisch in jeder modernen Wohnung. Neubauten werden oft schon an als smart geplant und führen zu ganzen Smart-Wohnanlagen. Alles lässt sich über eine einzige App steuern: nicht nur Geräte in der Wohnung, sondern auch externe Systeme, wie Gegensprechanlagen, Kameras, Tore, Stromzähler und Feuermelder.

Aber was passiert, wenn eine solche App eine Sicherheitslücke aufweist? Unsere Experten von Global Research and Analysis Team (GReAT) kennen die Antwort. Sie haben eine Schwachstelle in der App „Rubetek Home“ aufgedeckt und Sicherheitsrisiken für Smart-Home-Besitzer untersucht, die glücklicherweise nicht ausgenutzt wurden.

Die Schwachstelle

Die Sicherheitslücke ging darauf zurück, dass die App während des Protokollierungsvorgangs vertrauliche Daten sendete. Die Entwickler verwendeten die Telegram Bot API. Analysen und Dateien mit Debug-Informationen von Nutzern wurden gesammelt und an einen privaten Telegram-Chat des Entwicklerteams gesendet.

Das Problem: Diese Dateien enthielten neben Systeminformationen nicht nur persönliche Daten der Nutzer, sondern auch Aktualisierungstoken. Diese dienten für die Autorisierung des Zugriffs auf das Benutzerkonto. Potenzielle Angreifer hätten alle diese Dateien mithilfe desselben Telegram-Bots an sich selbst weiterleiten können. Das Telegram-Token und die Chat-ID waren aus dem App-Code zu entnehmen und die fortlaufenden Nummern der Nachrichten mit den Dateien konnte man einfach ausprobieren.

Die Protokollierung von Ereignissen per Telegram wird in letzter Zeit immer beliebter. Es ist praktisch und geht schnell, wichtige Benachrichtigungen im Messenger zu erhalten. Bei dieser Methode ist jedoch Vorsicht geboten. Unsere Sicherheitsempfehlungen: Leite in den App-Protokollen keine vertraulichen Daten weiter, und verbiete in den Telegram-Einstellungen das Kopieren und Weiterleiten von Inhalten aus der Gruppe oder verwende den Parameter protect_content, wenn Nachrichten über einen Telegram-Bot gesendet weden.

Wichtiger Hinweis: Wir haben Rubetek sofort nach der Entdeckung dieser Schwachstelle kontaktiert. Zum Zeitpunkt der Veröffentlichung dieses Artikels war das Problem bereits behoben.

Theoretisch hätten sich potenzielle Angreifer Zugriff auf Daten verschaffen können, die alle Apps des Nutzers an den Entwickler sendeten. Die Liste dieser Daten ist beeindruckend:

Vollständiger Name, E-Mail-Adresse oder Handynummer sowie Wohnadresse, die mit der App verknüpft ist
Liste der mit dem Smart-Home-System verknüpften Geräte
Informationen über Ereignisse, die von Smart-Geräten protokolliert wurden, z. B. ob die Alarmanlage ein- oder ausgeschaltet war oder ob Kameras verdächtige Geräusche wahrgenommen hatten
Systeminformationen zu Geräten im lokalen Heimnetzwerk: MAC-Adresse, IP-Adresse und Gerätetyp
IP-Adressen für die Verbindung mit Kameras über das WebRTC-Protokoll
Schnappschüsse von intelligenten Kameras und Gegensprechanlagen
Chats des Nutzers über ein Supportformular
Token, mit denen eine neue Sitzung mit dem Benutzerkonto initiiert werden kann

Die Gefahr betraf Android- und iOS-Apps.

Was passiert, wenn Angreifer dein Smart Home kapern?

Die große Menge an Daten hätte eine umfangreiche Überwachung ermöglichen können. Angreifer hätten herausfinden können, wer wo wohnt und an welchen Tagen niemand zu Hause ist. Kriminelle hätten den Tagesablauf der Bewohner ausspionieren und während deren Abwesenheit die Wohnung betreten können. Kameras und andere Sicherheitssysteme hätten aus der Ferne über die App deaktiviert werden können.

Ein so offensichtlicher Einbruch wäre natürlich aufgefallen, aber es gibt andere, subtilere Möglichkeiten. Über die Schwachstelle hätten Angreifer beispielsweise aus der Ferne die Farben der intelligenten Glühbirnen und die Bodentemperatur ändern, das Licht ständig ein- und ausschalten und den Bewohnern einen spürbaren finanziellen Schaden zufügen können.

Und noch beunruhigender: Ein Angreifer hätte nicht nur eine Wohnung oder ein Haus, sondern Tausende von Bewohnern eines ganzen Wohnkomplexes angreifen können. Natürlich hätte die Gebäudeverwaltung sofort bemerkt, wenn alle Zutrittskontrollsystemen gleichzeitig deaktiviert worden wären. Aber es hätte sicher einige Zeit gedauert, um die Ursachen zu ermitteln. Und in der Zwischenzeit wären den Bewohnern Schäden entstanden.

So machst du dein Smart Home sicher

Solche Schwachstellen können auch in anderen Smart-Home-Apps vorkommen. Als einer von Millionen von Nutzern kannst du praktisch nicht feststellen, ob eine App kompromittiert wurde. Darum solltest du dich sofort an den App-Administrator oder an den Hersteller wenden, sobald dir etwas verdächtig vorkommt. Verdächtig ist beispielsweise, wenn neue Personen auf deiner Gästeliste auftauchen oder Tore und Türen unerlaubterweise geöffnet und geschlossen werden.

Häufiger ist eine Situation, bei der Smart-Geräte in der eigenen Wohnung verwendet werden und es gar keinen Netzwerkadministrator gibt. Für solche Fälle empfehlen wir die folgenden Regeln:

Schütze deinen WLAN-Router: Dazu solltest du das Standardpasswort durch ein starkes Passwort ersetzen, WPS deaktivieren und die WPA2-Verschlüsselung aktivieren.
Erstelle ein dediziertes WLAN-Netzwerk für deine Smart-Home-Geräte und lege ein eigenes Passwort dafür fest. Moderne Router unterstützen Gastnetzwerke. Wenn also beispielsweise eine Smart-Babywippe gehackt wird, können Kriminelle trotzdem nicht auf deine Computer oder Smartphones zugreifen.
Verwende Kaspersky Premium. Diese App überprüft dein Netzwerk regelmäßig auf nicht autorisierte Geräte. Wenn alles in Ordnung ist, zeigt Smart Home-Monitor nur Informationen über deine Geräte an.
Lege starke Passwörter für alle Geräte fest. Du musst sie nicht auswendig lernen: Das übernimmt Kaspersky Password Manager für dich.
Aktualisiere regelmäßig die Firmware aller Smart-Geräte. Den Router nicht vergessen!

Es gibt noch viele andere potenzielle Risiken für Smart Homes, aber auch weitere Möglichkeiten, wie du dein Zuhause schützen kannst. Mehr Informationen darüber findest du in den folgenden Artikeln.

So sichern Sie Ihr Smart Home

Über Nacht zum Reality-Star: Wie sicher sind IP-Kameras?

Smartes Heim, Glück allein

Hört Ihr Fernseher, Smartphone oder intelligenter Lautsprecher heimlich mit?

Loch im Fressnapf: wenn der intelligente Futterautomat ein Leck hat

AirBorne: Angriffe auf Geräte über Apple AirPlay

AirBorne: Angriffe auf Apple-Geräte durch AirPlay-Schwachstellen

Neu entdeckte Schwachstellen in AirPlay ermöglichen Angriffe auf Apple-Geräte und andere AirPlay-fähige Geräte über WLAN. Es drohen auch Zero-Click-Exploits.

KOSTENLOSE TOOLS

Smart Home – gar nicht so smart

Die Schwachstelle

Was passiert, wenn Angreifer dein Smart Home kapern?

So machst du dein Smart Home sicher

Mehr Sicherheit für Privatanwender

So sichern Sie Ihr Smart Home

AirBorne: Angriffe auf Apple-Geräte durch AirPlay-Schwachstellen

Tipps

Die versteckten Kosten eines kostenlosen SIEM

Mobiles Internet mit Kaspersky eSIM Store

Digital Detox auf Nummer sicher

Microsoft Recall in 2025 – jetzt benutzen oder lieber vermeiden?

Abonnieren Sie uns und bleiben Sie auf dem neuesten Stand mit unseren Beiträgen

LÖSUNGEN FÜR HEIMANWENDER

KLEINE UNTERNEHMEN

MITTLERE UNTERNEHMEN

GROSSE UNTERNEHMEN

Securelist

Eugene Personal Blog

Enzyklopädie