{"id":32223,"date":"2025-05-30T12:32:19","date_gmt":"2025-05-30T10:32:19","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=32223"},"modified":"2025-05-30T14:20:49","modified_gmt":"2025-05-30T12:20:49","slug":"vulnerability-in-smart-home-control-app","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/vulnerability-in-smart-home-control-app\/32223\/","title":{"rendered":"Smart Home \u2013 gar nicht so smart"},"content":{"rendered":"<p>Smart Homes sind inzwischen nichts mehr aus <a href=\"https:\/\/www.imdb.com\/title\/tt0192618\/\" target=\"_blank\" rel=\"nofollow noopener\">Science-Fiction-Filmen der sp\u00e4ten 90er<\/a>. In Gro\u00dfst\u00e4dten geh\u00f6ren sie heutzutage f\u00fcr viele Menschen zum Alltag. Intelligente Steckdosen, Lautsprecher und Fernseher findet man praktisch in jeder modernen Wohnung. Neubauten werden oft schon an als <em>smart<\/em> geplant und f\u00fchren zu <em>ganzen Smart-Wohnanlagen<\/em>. Alles l\u00e4sst sich \u00fcber eine einzige App steuern: nicht nur Ger\u00e4te in der Wohnung, sondern auch externe Systeme, wie Gegensprechanlagen, Kameras, Tore, Stromz\u00e4hler und Feuermelder.<\/p>\n<p>Aber was passiert, wenn eine solche App eine Sicherheitsl\u00fccke aufweist? Unsere Experten von Global Research and Analysis Team (GReAT) kennen die Antwort. Sie haben eine Schwachstelle in der App \u201eRubetek Home\u201c aufgedeckt und Sicherheitsrisiken f\u00fcr Smart-Home-Besitzer untersucht, die gl\u00fccklicherweise nicht ausgenutzt wurden.<\/p>\n<h2>Die Schwachstelle<\/h2>\n<p>Die Sicherheitsl\u00fccke ging darauf zur\u00fcck, dass die App w\u00e4hrend des Protokollierungsvorgangs vertrauliche Daten sendete. Die Entwickler verwendeten die Telegram Bot API. Analysen und Dateien mit Debug-Informationen von Nutzern wurden gesammelt und an einen privaten Telegram-Chat des Entwicklerteams gesendet.<\/p>\n<p>Das Problem: Diese Dateien enthielten neben Systeminformationen nicht nur pers\u00f6nliche Daten der Nutzer, sondern auch Aktualisierungstoken. Diese dienten f\u00fcr die Autorisierung des Zugriffs auf das Benutzerkonto. Potenzielle Angreifer h\u00e4tten alle diese Dateien mithilfe desselben Telegram-Bots an sich selbst weiterleiten k\u00f6nnen. Das Telegram-Token und die Chat-ID waren aus dem App-Code zu entnehmen und die fortlaufenden Nummern der Nachrichten mit den Dateien konnte man einfach ausprobieren.<\/p>\n<p>Die Protokollierung von Ereignissen per Telegram wird in letzter Zeit immer beliebter. Es ist praktisch und geht schnell, wichtige Benachrichtigungen im Messenger zu erhalten. Bei dieser Methode ist jedoch Vorsicht geboten. Unsere Sicherheitsempfehlungen: Leite in den App-Protokollen keine vertraulichen Daten weiter, und verbiete in den Telegram-Einstellungen das Kopieren und Weiterleiten von Inhalten aus der Gruppe oder verwende den Parameter <em>protect_content<\/em>, wenn Nachrichten \u00fcber einen Telegram-Bot gesendet weden.<\/p>\n<blockquote><p><em>Wichtiger Hinweis: Wir haben Rubetek sofort nach der Entdeckung dieser Schwachstelle kontaktiert. <\/em><em>Zum Zeitpunkt der Ver\u00f6ffentlichung dieses Artikels war das Problem bereits behoben.<\/em><\/p><\/blockquote>\n<p>Theoretisch h\u00e4tten sich potenzielle Angreifer Zugriff auf Daten verschaffen k\u00f6nnen, die alle Apps des Nutzers an den Entwickler sendeten. Die Liste dieser Daten ist beeindruckend:<\/p>\n<ul>\n<li>Vollst\u00e4ndiger Name, E-Mail-Adresse oder Handynummer sowie Wohnadresse, die mit der App verkn\u00fcpft ist<\/li>\n<li>Liste der mit dem Smart-Home-System verkn\u00fcpften Ger\u00e4te<\/li>\n<li>Informationen \u00fcber Ereignisse, die von Smart-Ger\u00e4ten protokolliert wurden, z.\u00a0B. ob die <em>Alarmanlage ein- oder ausgeschaltet war<\/em> oder ob<em> Kameras verd\u00e4chtige Ger\u00e4usche wahrgenommen hatten<\/em><\/li>\n<li>Systeminformationen zu Ger\u00e4ten im lokalen Heimnetzwerk: <em>MAC-Adresse, IP-Adresse und Ger\u00e4tetyp<\/em><\/li>\n<li>IP-Adressen f\u00fcr die Verbindung mit Kameras \u00fcber das WebRTC-Protokoll<\/li>\n<li>Schnappsch\u00fcsse von intelligenten Kameras und Gegensprechanlagen<\/li>\n<li>Chats des Nutzers \u00fcber ein Supportformular<\/li>\n<li>Token, mit denen eine neue Sitzung mit dem Benutzerkonto initiiert werden kann<\/li>\n<\/ul>\n<p>Die Gefahr betraf Android- und iOS-Apps.<\/p>\n<h2>Was passiert, wenn Angreifer dein Smart Home kapern?<\/h2>\n<p>Die gro\u00dfe Menge an Daten h\u00e4tte eine umfangreiche \u00dcberwachung erm\u00f6glichen k\u00f6nnen. Angreifer h\u00e4tten herausfinden k\u00f6nnen, wer wo wohnt und an welchen Tagen niemand zu Hause ist. Kriminelle h\u00e4tten den Tagesablauf der Bewohner ausspionieren und w\u00e4hrend deren Abwesenheit die Wohnung betreten k\u00f6nnen. Kameras und andere Sicherheitssysteme h\u00e4tten aus der Ferne \u00fcber die App deaktiviert werden k\u00f6nnen.<\/p>\n<p>Ein so offensichtlicher Einbruch w\u00e4re nat\u00fcrlich aufgefallen, aber es gibt andere, subtilere M\u00f6glichkeiten. \u00dcber die Schwachstelle h\u00e4tten Angreifer beispielsweise aus der Ferne die Farben der intelligenten Gl\u00fchbirnen und die Bodentemperatur \u00e4ndern, das Licht st\u00e4ndig ein- und ausschalten und den Bewohnern einen sp\u00fcrbaren finanziellen Schaden zuf\u00fcgen k\u00f6nnen.<\/p>\n<p>Und noch beunruhigender: Ein Angreifer h\u00e4tte nicht nur eine Wohnung oder ein Haus, sondern Tausende von Bewohnern eines ganzen Wohnkomplexes angreifen k\u00f6nnen. Nat\u00fcrlich h\u00e4tte die Geb\u00e4udeverwaltung sofort bemerkt, wenn alle Zutrittskontrollsystemen gleichzeitig deaktiviert worden w\u00e4ren. Aber es h\u00e4tte sicher einige Zeit gedauert, um die Ursachen zu ermitteln. Und in der Zwischenzeit w\u00e4ren den Bewohnern Sch\u00e4den entstanden.<\/p>\n<h2>So machst du dein Smart Home sicher<\/h2>\n<p>Solche Schwachstellen k\u00f6nnen auch in anderen Smart-Home-Apps vorkommen. Als einer von Millionen von Nutzern kannst du praktisch nicht feststellen, ob eine App kompromittiert wurde. Darum solltest du dich sofort an den App-Administrator oder an den Hersteller wenden, sobald dir etwas verd\u00e4chtig vorkommt. Verd\u00e4chtig ist beispielsweise, wenn <em>neue Personen auf deiner G\u00e4steliste auftauchen oder Tore und T\u00fcren unerlaubterweise ge\u00f6ffnet und geschlossen werden<\/em>.<\/p>\n<p>H\u00e4ufiger ist eine Situation, bei der Smart-Ger\u00e4te in der eigenen Wohnung verwendet werden und es gar keinen Netzwerkadministrator gibt. F\u00fcr solche F\u00e4lle empfehlen wir die folgenden Regeln:<\/p>\n<ul>\n<li>Sch\u00fctze deinen WLAN-Router: Dazu solltest du das Standardpasswort durch ein starkes Passwort ersetzen, <a href=\"https:\/\/www.kaspersky.de\/blog\/how-to-protect-wifi-from-neighbors\/26398\/#:~:text=WPS%2DFunktion%20deaktivieren\" target=\"_blank\" rel=\"noopener\">WPS deaktivieren<\/a> und die WPA2-Verschl\u00fcsselung aktivieren.<\/li>\n<li>Erstelle ein dediziertes WLAN-Netzwerk f\u00fcr deine Smart-Home-Ger\u00e4te und lege ein eigenes Passwort daf\u00fcr fest. Moderne Router unterst\u00fctzen Gastnetzwerke. Wenn also beispielsweise eine <a href=\"https:\/\/www.kaspersky.de\/blog\/ces-2025-cybersecurity\/31890\/\" target=\"_blank\" rel=\"noopener\">Smart-Babywippe<\/a> gehackt wird, k\u00f6nnen Kriminelle trotzdem nicht auf deine Computer oder Smartphones zugreifen.<\/li>\n<li>Verwende <a href=\"https:\/\/www.kaspersky.de\/premium?icid=de_bb2022-kdplacehd_acq_ona_smm__onl_b2c_kdaily_lnk_sm-team___kprem___\" target=\"_blank\" rel=\"noopener\">Kaspersky Premium<\/a>. Diese App \u00fcberpr\u00fcft dein Netzwerk regelm\u00e4\u00dfig auf nicht autorisierte Ger\u00e4te. Wenn alles in Ordnung ist, zeigt <strong>Smart Home-Monitor<\/strong> nur Informationen \u00fcber deine Ger\u00e4te an.<\/li>\n<li>Lege starke Passw\u00f6rter f\u00fcr alle Ger\u00e4te fest. Du musst sie nicht auswendig lernen: Das \u00fcbernimmt <a href=\"https:\/\/www.kaspersky.de\/password-manager?icid=de_kdailyplacehold_acq_ona_smm__onl_b2c_kasperskydaily_wpplaceholder____kpm___\" target=\"_blank\" rel=\"noopener\">Kaspersky Password Manager<\/a> f\u00fcr dich.<\/li>\n<li>Aktualisiere regelm\u00e4\u00dfig die Firmware aller Smart-Ger\u00e4te. Den Router nicht vergessen!<\/li>\n<\/ul>\n<blockquote><p><em>Es gibt noch viele andere potenzielle Risiken f\u00fcr Smart Homes, aber auch weitere M\u00f6glichkeiten, wie du dein Zuhause sch\u00fctzen kannst. Mehr Informationen dar\u00fcber findest du in den folgenden Artikeln.<\/em><\/p>\n<ul>\n<li><a href=\"https:\/\/www.kaspersky.de\/blog\/how-to-secure-smart-home\/29911\/\" target=\"_blank\" rel=\"noopener\"><em>So sichern Sie Ihr Smart Home<\/em><\/a><\/li>\n<li><a href=\"https:\/\/www.kaspersky.de\/blog\/ip-cameras-unsecurity-eufy\/29594\/\" target=\"_blank\" rel=\"noopener\"><em>\u00dcber Nacht zum Reality-Star: Wie sicher sind IP-Kameras?<\/em><\/a><\/li>\n<li><a href=\"https:\/\/www.kaspersky.de\/blog\/smart-home-zigbee-thread-matter-advice\/29850\/\" target=\"_blank\" rel=\"noopener\"><em>Smartes Heim, Gl\u00fcck allein<\/em><\/a><\/li>\n<li><a href=\"https:\/\/www.kaspersky.de\/blog\/smart-speaker-tv-smartphone-eavesdropping\/30825\/\" target=\"_blank\" rel=\"noopener\"><em>H\u00f6rt Ihr Fernseher, Smartphone oder intelligenter Lautsprecher heimlich mit?<\/em><\/a><\/li>\n<li><a href=\"https:\/\/www.kaspersky.de\/blog\/pet-feeders-vulnerabilities\/30282\/\" target=\"_blank\" rel=\"noopener\"><em>Loch im Fressnapf: wenn der intelligente Futterautomat ein Leck hat<\/em><\/a><\/li>\n<\/ul>\n<\/blockquote>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"premium-generic\">\n","protected":false},"excerpt":{"rendered":"<p>Unsere GReAT-Experten haben eine riskante Schwachstelle in einer App zur Smart-Home-Steuerung gefunden. Angreifer h\u00e4tten damit Sicherheitssysteme deaktivieren k\u00f6nnen.<\/p>\n","protected":false},"author":312,"featured_media":32228,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2286,10],"tags":[1076,130,1498,1029,645],"class_list":{"0":"post-32223","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-privacy","8":"category-tips","9":"tag-great","10":"tag-privatsphare","11":"tag-schwachstellen","12":"tag-smart-home","13":"tag-technologie"},"hreflang":[{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/vulnerability-in-smart-home-control-app\/32223\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/vulnerability-in-smart-home-control-app\/28895\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/vulnerability-in-smart-home-control-app\/24119\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/vulnerability-in-smart-home-control-app\/12458\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/vulnerability-in-smart-home-control-app\/28997\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/vulnerability-in-smart-home-control-app\/28158\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/vulnerability-in-smart-home-control-app\/30978\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/vulnerability-in-smart-home-control-app\/29693\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/vulnerability-in-smart-home-control-app\/39582\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/vulnerability-in-smart-home-control-app\/13396\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/vulnerability-in-smart-home-control-app\/53471\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/vulnerability-in-smart-home-control-app\/22820\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/vulnerability-in-smart-home-control-app\/23859\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/vulnerability-in-smart-home-control-app\/29173\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/vulnerability-in-smart-home-control-app\/34936\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/vulnerability-in-smart-home-control-app\/34567\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.de\/blog\/tag\/smart-home\/","name":"Smart Home"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/32223","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/users\/312"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/comments?post=32223"}],"version-history":[{"count":7,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/32223\/revisions"}],"predecessor-version":[{"id":32232,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/32223\/revisions\/32232"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media\/32228"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media?parent=32223"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/categories?post=32223"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/tags?post=32223"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}