Schwachstellen bei Smart-TV-Dongle EZCast aufgedeckt

Sicherheit
EZCast Streaming-Dongles (Bild: EzCast)

Das HDMI-Dongle von EZCast wandelt nicht vernetzte Fernseher in Smart-TVs um. Allerdings hat der chinesische Anbieter seine Hausaufgaben bei der Netzwerksicherheit nicht richtig gemacht, wie eine Untersuchung von Check-Point-Experten zeigt. Sie sehen das als Symptom für ein umfassenderes Problem mit dem Internet der Dinge.

Check Point hat die Zusammenfassung einer Untersuchung zu Schwachstellen beim HDMI-Streaming-Stick EZCast vorgelegt (PDF). Darin werden mehrere Schwachstellen in der Netzwerksicherheit bei EZCast aufgezeigt. Unter anderem könnten Unbefugte sie aus der Ferne ausnutzen, um über das WLAN Zugriff auf das Heimnetzwerk eines EZCast-Teilnehmers zu erhalten und so dann persönliche Daten auslesen oder die Kontrolle über die das Heimnetzwerk angeschlossenen Geräte übernehmen.

Experten von Check Point haben Schwachstellen beim HDMI-Dongle von EZCast aufgedeckt (Grafik: Check Point)

Für Oded Vanunu, Leiter der Sicherheitsforschungsgruppe von Check Point, steht das nun als unsicher entlarvte Dongle EZCast aber nur exemplarisch für ein breites Spektrum an Gerätetypen, die dem Internet der Dinge (Internet of Things, IoT) zuzuordnen sind – angefangen von einfachen Gadgets über vernetzte Automobile bis zu Industrieanlagen.

Das EZCast-Dongle sei ein Beispiel für ein IoT-verbundenes Gerät, da es die Datenübertragung über ein Netzwerk ermöglicht, ohne dass eine Mensch-Mensch- oder Mensch-Computer-Interaktion erforderlich ist. Der IoT-Markt wachse exponentiell und werde die Art und Weise verändern, wie Unternehmen, Behörden und Verbraucher mit der physischen Welt interagieren. Allerdings müsse sich daher auch die Art und Weise ändern, wie man solche Geräte absichere.

Die Erkenntnis ist allerdings nicht ganz neu. Kurz vor Weihnachten hatten zum Beispiel das Unternehmen Bluebox Labs und der Sicherheitsforscher Andrew Hay von OpenDNS herausgefunden, dass die WLAN-Verbindung der von Mattel angebotenen vernetzten Barbie-Puppe wegen Sicherheitslücken angreifbar ist. Damit sei wie beim EZCast-Dongle ein Angriff aus der Ferne möglich. Angreifer könnten sich mit einem von ihnen eingerichteten, ungesicherten WLAN mit der Puppe verbinden. Dazu müsste im Namen des WLANs lediglich “Barbie” enthalten sein. Zudem soll beim Anmelden der App die Verbindung mit den Servern relativ einfach auslesbar sein.

Weitere Sicherheitslücken bei vernetzter Barbie-Puppe gefunden (Bild: Mattel)
Die vernetzte Barbie-Puppe “Hello Barbie” ist letzendlich auch ein Gerät im Internet der Dinge und war auf ähnliche Weise angreifbar wie das HDMI-Dongle EZCast (Bild: Mattel)

Davon, dass nicht nur Daten in Gefahr sind, geht auch Trend-Micro-CTO Raimund Genes aus. Er hat zur Jahreswende prognostiziert, dass 2016 erstmals ein Mensch durch einen Fehler in einem IoT-System ums Leben kommen wird. Geräte im Internet der Dinge will Trend Micro durch den angepassten Einsatz bereits verfügbarer Produkte absichern. Dazu, wie sich das am besten bewerkstelligen lässt, gibt der Anbieter auf auf seiner Website eine ganze Reihe von Tipps und Ratschlägen.

In dem auch von Check Point angesprochenen Industrieumfeld setzt Symantec auf die Authentifizierung von Geräten, die Absicherung von Code und begleitende Analyse. Für Verbraucher empfiehlt das Unternehmen die für bis zu fünf Geräte ausgelegte Software “Norton 360 Multi-Device”. Die sichert zwar IT-Geräte ab, berücksichtigt aber eben nicht gezielt diverse vernetzte Geräte.

Bitdefender Box (Bild: Bitdefender)
Bitdefender bietet mit seiner “Box” genannten Kombination aus Hard- und Software Schutz für die mit dem Heimetzwerk verbundene IoT-Geräte (Bild: Bitdefender).

Dies ermöglichen demnächst Bitdefender und F-Secure. Beide haben mit ihren Produkten Box beziehungsweise Sense bereits Hardware angekündigt, die im Heimnetzwerk hinter dem Router platziert wird und dann den Datenverkehr aller Geräte analysiert und gegebenenfalls eingreift oder alarmiert.

F-Secure Sense kommt in Deutschland im Frühjahr 2016 auf den Markt, lässt sich aber zum Preis von 99 Euro bereits auf der Homepage des Anbieters vorbestellen. Zur Markteinführung wird es dann 199 Euro kosten. Das Paket beinhaltet neben Hard- und Software ein 12-Monats-Abo für den Dienst.

Bitdefender Box identifiziert und blockiert gefährliche URLs und IP-Adressen, verhindert den Download von Malware und sortiert fehlerhafte Pakete sowie weitere mögliche Bedrohungen aus. Dazu scannt die Box den Netzwerkverkehr und verfügt über einen Antivirenschutz. Außerdem erinnert sie daran, wenn Sicherheits-Patches oder andere Updates für installierte Software oder das Betriebssystem eingespielt werden müssen und kann optional auch automatisch Aktualisierungen durchführen. In den USA wird Bitdefender Box bereits verkauft. In der für das Frühjahr geplanten zweiten Auflage könnte sie auch in Deutschland auf den Markt kommen.

Tipp der Redaktion: Fernsehen auf PC, Smartphone oder Tablet? Das geht – und zwar kostenlos und weitaus weniger kompliziert, als man zunächst vermuten würde. ITespresso erklärt im Artikel Online-Fernsehen: TV-Programme kostenlos auf PC oder Smartphone schauen, was zu beachten ist und präsentiert die besten Möglichkeiten, Online-TV gratis zu empfangen.

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen