Cisco Talos hat insgesamt 20 Schwachstellen in der Firmware des Samsung SmartThings Hub entdeckt. Die Sicherheitsexperten haben vor der Veröffentlichung von Informationen zu den Schwachstellen mit Samsung zusammen an einem Firmware-Update gearbeitet, das die Lücken schließt. Es steht auf der Samsung-Website zum Download bereit und sollte umgehend eingespielt werden. Denn die aufgedeckten Sicherheitslücken bieten Angreifern umfangreiche Missbrauchsmöglichkeiten.
Der Samsung SmartThings Hub überwacht und verwaltet mehrere IoT-Geräte in einem Smart-Home-Netzwerk. Als zentraler Controller ermöglicht der mit einer Linux-basierenden Firmware ausgestattet SmartThings Hub den Zugriff auf die verbundenen Geräte - etwa steuerbare Steckdosen, LED-Lampen, Thermostate oder Netzwerkkameras - über das Smartphone. Er unterstützt dazu mehrere Netzwerk- und Funktechnologien (Ethernet, Zigbee, Z-Wave und Bluetooth)
Über die entdeckten und mit dem Firmware-Update nun geschlossenen Schwachstellen könnten sich Angreifer Zugang zu Daten verschaffen, die die angeschlossenen Geräte gesammelt haben sowie die im Haus verteilten Geräte überwachen und kontrollieren. Den Talos-Experten zufolge ließen sich etwa Kameras missbrauchen, um die Bewohner auszuspähen, die von der Hausalarmanlage verwendeten Bewegungssensoren konnten deaktiviert werden und steuerbare Steckdosen nach Belieben an- oder ausgeschaltet werden. Auch Thermostate konnten von Unbefugten aus der Ferne gesteuert werden.
Lesetipp: So schützen Sie Ihr Smart Home
Um die insgesamt 20 Schachstellen im Samsung SmartThings Hub ausnutzen zu können, benötigen Angreifer unterschiedlichen umfangreichen Zugriff auf die Geräte. Für sich genommen seien manche der Schachstellen sehr schwer auszunutzen, räumen die Cisco-Experten ein. In ihrer Gesamtheit lasse sich damit jedoch ein umfassender und erfolgreicher Angriff auf verbundene Geräte durchführen. Wie der aussehen könnte, erklären sie an einem Beispiel mit drei der von ihnen entdeckten Sicherheitslücken.
ChannelPartner-Roundtable zum Thema IT-Security
Peter Neumeier, Head of Channel Germany bei Kaspersky Lab DACH, forderte beim ChannelPartner-Roundtable zum Thema IT-Security im Juni: "Auf Seite der Entwickler und Anbieter ist es wichtig, dass sie von Beginn an IT-Sicherheits- und Datenschutzaspekte bei ihren Produkten integrieren. Das Stichwort hier ist Security-by-Design. Dazu gehört ein sicheres Betriebssystem genauso wie Maßnahmen gegen Reverse Engineering sowie Code-Prüfungen, Absicherung gegen App-Overlays oder die Vermeidung der Speicherung von Nutzernamen und Passwörtern im Klartext."
ChannelPartner-Roundtable: IoT-Security steht erst am Anfang
Die anderen Roundtable-Teilnehmer stimmten dem zu. Unterschiedlicher Ansicht waren sie jedoch bei der Frage, wie die Geräte darüber hinaus abgesichert werden können. Im gewerblichen Bereich hielten sie es aufgrund der Vielzahl der unterschiedlichen Geräte überwiegend für unrealistisch, dass sich in naher Zukunft Endpoint-Security-Software durchsetzt. Hier sollten Firmen mit Netzwerk-Segmentierung und anderen netzwerkbasierenden Sicherheitsstrategien ansetzen.
Im privaten Umfeld gibt es dagegen durchaus bereits Ansätze, um IoT-Endgeräte mittels spezieller Sicherheitssoftware abzusichern. Maik Wetzel, Channel Sales Director DACH bei ESET, verwies etwa auf eine Lösung seines Unternehmens für Smart TVs. Ansonsten sprach sich aber auch Wetzel, so wie Vertreter von Avast, G Data und Trend Micro, dafür aus, am WLAN-Router anzusetzen, um die erforderliche Überwachung von Aktivitäten sicherzustellen. Mehr dazu lesen Sie in der aktuellen Ausgabe der ChannelPartner mit dem Schwerpunkt Smart Home & IoT sowie online hier.
5 Tipps, die Fachhändler Smart-Home-Nutzer geben können
Achten Sie vor dem Kauf auf Sicherheits- und Datenschutzaspekte. Gibt es Informationen über die Verwendung der gesammelten Daten?
Voreingestellten Standardpasswörter bei allen Smart-Home-Geräten und -Systemen ändern.
Den Router als zentrale Schnittstelle zum Internet so gut absichern, wie es derzeit möglich ist.
Die Firmware der Geräte immer auf dem aktuellen Stand halten.
Nicht benötigte Dienste deaktivieren. Eine unnötige Verbindung ins Internet kann für Angreifer immer auch ein Weg ins Smart Home sein.
Lesetipp: Wie Systemhäuser Gebäude und Wohnungen "smart" machen