Kontroverse um Sicherheitslücken in Smart-Home-Produkten von Belkin

NetzwerkeSicherheit
belkin-wemo-schalter-iphone

Den Sicherheitsforschern von IOActive zufolge könnten Angreifer aus der Ferne an die Steckdosen angeschlossene Geräte kontrollieren. Zudem sei der Zugriff über mit dem Netzwerk verbundene Laptops oder Mobiltelefone möglich. Laut Belkin sind die angeprangerten Lücken teilweise jedoch schon seit Wochen gefixt.

Mitarbeiter des Sicherheitsunternehmens IOActive haben darauf hingewiesen, dass Smart-Home-Geräte der Produktreihe WeMo von Belkin angreifbar seien. Gleich mehrere Sicherheitslücken sollen ihnen Zugriff auf Heimnetzwerke und die Steuerung der mit den intelligenten Steckdosen verbundenen Haushaltsgeräte ermöglichen.

belkin-wemo-schalter-iphone

So könnten Hacker aufgrund einer fehlerhaften Implementierung des verwendeten Kryptografiesystems GNU Privacy Guard (GPG) etwa präparierte Firmware einschleusen und auf den auch in Deutschland verkauften WeMo-Produkten installieren. Dann sei es den Angreifern möglich, an die Steckdosen angeschlossene Geräte über das Internet ein- und auszuschalten. Das könne nach Ansicht von IOActive zu Fehlfunktionen und sogar Bränden führen.

“Außerdem kann eine Steckdose, sobald ein Angreifer eine Verbindung zu einem WeMo-Gerät im Netzwerk des Opfers hergestellt hat, als Ausgangspunkt für Angriffe auf weitere Geräte wie Laptops, Mobiltelefone und Netzwerkspeicher genutzt werden”, teilt das Unternehmen mit. Nutzern rät IOActive, bis zur Veröffentlichung eines Patches durch Belkin alle WeMo-Geräte vom Stromnetz zu trennen und hat zusammen mit dem US-CERT eine Warnmeldung herausgegeben.

Belkin kontert die allerdings mit dem Hinweis, dass man mit den Sicherheitsforschern im Vorfeld in Kontakt gestanden und bereits Fixes für alle angeprangerten Sicherheitslücken bereitgestellt habe. So habe man ein Update für den WeMo API Server, das einen Angriff mittels XML-Injection verhindert, bereits am 5. November 2013 zur Verfügung gestellt.

Seit 24. Januar gibt es zudem ein Update für die Firmware, die die Implementierung der SSL-Verschlüsselung bereinigt und den seriellen Port mit einem Passwort schützt, um einen Angriff auf diesem Wege zu verhindern. Ebenfalls seit 24. Januar stehe ein Update für die WeMo App für iOS und seit 10. Februar auch für die Android-Version zur Verfügung, dass den Umstieg auf die aktuellste Firmware ermöglicht.

Nutzer seien durch In-App-Benachrichtigungen informiert worden. “Nutzer mit dem aktuellsten Release der Firmware (Version 3949) sind durch diese bösartigen Firmware-Attacken oder die Fernsteuerung beziehungsweise -überwachung von WeMo-Geräten durch unbefugte Geräte nicht betroffen”, erklärt der Hersteller. Belkin empfiehlt Kunden, die das noch nicht getan haben, dringend, die aktuellste Version der WeMO-Anwendung – Version Version 1.4.1 in Apples App Store respektive Version 1.1.2 im Google Play Store – herunterzuladen und dann die Firmware über die App zu aktualisieren.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen