Security

Samsung SmartThings Hub

Schwachstellen in Smart-Home-Produkten von Samsung

31.07.2018
Von 
Peter Marwan lotet kontinuierlich aus, welche Chancen neue Technologien in den Bereichen IT-Security, Cloud, Netzwerk und Rechenzentren dem ITK-Channel bieten. Themen rund um Einhaltung von Richtlinien und Gesetzen bei der Nutzung der neuen Angebote durch Reseller oder Kunden greift er ebenfalls gerne auf. Da durch die Entwicklung der vergangenen Jahre lukrative Nischen für europäische Anbieter entstanden sind, die im IT-Channel noch wenig bekannt sind, gilt ihnen ein besonderes Augenmerk.
Alle Artikel des Autors
Email: Connect:
Sicherheitsexperten von Cisco Talos haben mehrere Schwachstellen in der Firmware des Samsung SmartThings Hub entdeckt. Ein Firmware-Update steht bereits zur Verfügung.

Cisco Talos hat insgesamt 20 Schwachstellen in der Firmware des Samsung SmartThings Hub entdeckt. Die Sicherheitsexperten haben vor der Veröffentlichung von Informationen zu den Schwachstellen mit Samsung zusammen an einem Firmware-Update gearbeitet, das die Lücken schließt. Es steht auf der Samsung-Website zum Download bereit und sollte umgehend eingespielt werden. Denn die aufgedeckten Sicherheitslücken bieten Angreifern umfangreiche Missbrauchsmöglichkeiten.

In der Firmware des Samsung SmartThings Hub haben Sicherheitsexperten von Cisco Talos insgesamt 20 Schwachstellen entdeckt.
In der Firmware des Samsung SmartThings Hub haben Sicherheitsexperten von Cisco Talos insgesamt 20 Schwachstellen entdeckt.
Foto: Samsung

Der Samsung SmartThings Hub überwacht und verwaltet mehrere IoT-Geräte in einem Smart-Home-Netzwerk. Als zentraler Controller ermöglicht der mit einer Linux-basierenden Firmware ausgestattet SmartThings Hub den Zugriff auf die verbundenen Geräte - etwa steuerbare Steckdosen, LED-Lampen, Thermostate oder Netzwerkkameras - über das Smartphone. Er unterstützt dazu mehrere Netzwerk- und Funktechnologien (Ethernet, Zigbee, Z-Wave und Bluetooth)

Über die entdeckten und mit dem Firmware-Update nun geschlossenen Schwachstellen könnten sich Angreifer Zugang zu Daten verschaffen, die die angeschlossenen Geräte gesammelt haben sowie die im Haus verteilten Geräte überwachen und kontrollieren. Den Talos-Experten zufolge ließen sich etwa Kameras missbrauchen, um die Bewohner auszuspähen, die von der Hausalarmanlage verwendeten Bewegungssensoren konnten deaktiviert werden und steuerbare Steckdosen nach Belieben an- oder ausgeschaltet werden. Auch Thermostate konnten von Unbefugten aus der Ferne gesteuert werden.

Lesetipp: So schützen Sie Ihr Smart Home

Um die insgesamt 20 Schachstellen im Samsung SmartThings Hub ausnutzen zu können, benötigen Angreifer unterschiedlichen umfangreichen Zugriff auf die Geräte. Für sich genommen seien manche der Schachstellen sehr schwer auszunutzen, räumen die Cisco-Experten ein. In ihrer Gesamtheit lasse sich damit jedoch ein umfassender und erfolgreicher Angriff auf verbundene Geräte durchführen. Wie der aussehen könnte, erklären sie an einem Beispiel mit drei der von ihnen entdeckten Sicherheitslücken.

ChannelPartner-Roundtable zum Thema IT-Security

Peter Neumeier, Head of Channel Germany bei Kaspersky Lab DACH, forderte beim ChannelPartner-Roundtable zum Thema IT-Security im Juni: "Auf Seite der Entwickler und Anbieter ist es wichtig, dass sie von Beginn an IT-Sicherheits- und Datenschutzaspekte bei ihren Produkten integrieren. Das Stichwort hier ist Security-by-Design. Dazu gehört ein sicheres Betriebssystem genauso wie Maßnahmen gegen Reverse Engineering sowie Code-Prüfungen, Absicherung gegen App-Overlays oder die Vermeidung der Speicherung von Nutzernamen und Passwörtern im Klartext."

ChannelPartner-Roundtable: IoT-Security steht erst am Anfang

Die anderen Roundtable-Teilnehmer stimmten dem zu. Unterschiedlicher Ansicht waren sie jedoch bei der Frage, wie die Geräte darüber hinaus abgesichert werden können. Im gewerblichen Bereich hielten sie es aufgrund der Vielzahl der unterschiedlichen Geräte überwiegend für unrealistisch, dass sich in naher Zukunft Endpoint-Security-Software durchsetzt. Hier sollten Firmen mit Netzwerk-Segmentierung und anderen netzwerkbasierenden Sicherheitsstrategien ansetzen.

Die Diskussion über IoT-Security im Rahmen des ChannelPartner-Roundtables zu IT-Security generell ist Thema in der aktuellen Ausgabe der ChannelPartner.
Die Diskussion über IoT-Security im Rahmen des ChannelPartner-Roundtables zu IT-Security generell ist Thema in der aktuellen Ausgabe der ChannelPartner.

Im privaten Umfeld gibt es dagegen durchaus bereits Ansätze, um IoT-Endgeräte mittels spezieller Sicherheitssoftware abzusichern. Maik Wetzel, Channel Sales Director DACH bei ESET, verwies etwa auf eine Lösung seines Unternehmens für Smart TVs. Ansonsten sprach sich aber auch Wetzel, so wie Vertreter von Avast, G Data und Trend Micro, dafür aus, am WLAN-Router anzusetzen, um die erforderliche Überwachung von Aktivitäten sicherzustellen. Mehr dazu lesen Sie in der aktuellen Ausgabe der ChannelPartner mit dem Schwerpunkt Smart Home & IoT sowie online hier.

5 Tipps, die Fachhändler Smart-Home-Nutzer geben können

  • Achten Sie vor dem Kauf auf Sicherheits- und Datenschutzaspekte. Gibt es Informationen über die Verwendung der gesammelten Daten?

  • Voreingestellten Standardpasswörter bei allen Smart-Home-Geräten und -Systemen ändern.

  • Den Router als zentrale Schnittstelle zum Internet so gut absichern, wie es derzeit möglich ist.

  • Die Firmware der Geräte immer auf dem aktuellen Stand halten.

  • Nicht benötigte Dienste deaktivieren. Eine unnötige Verbindung ins Internet kann für Angreifer immer auch ein Weg ins Smart Home sein.

Lesetipp: Wie Systemhäuser Gebäude und Wohnungen "smart" machen

Zur Startseite