WELT.DE, Jörn Brien – Artikel vom 3. Februar 2019 – Foto: UNSPLASH
Sicherheitsrisiko smarte Leuchtmittel: Auch wenn sie sich bereits im Müll befinden, können steuerbare Glühbirnen noch sensible Daten verraten. Nutzer sollten sich durch einige Maßnahmen schützen.
Smarte, vernetzte Geräte wie per App steuerbare Glühbirnen oder Überwachungskameras können in vielen Fällen leicht gehackt werden. Gerade bei günstigen IoT-Gadgets, die meist aus China kommen, ist etwa oft das Passwort in der Firmware festgeschrieben und kann nicht geändert werden.
Wie sich diese gravierenden Sicherheitslücken auswirken können, zeigte sich zum Beispiel im Oktober 2016, als eine DDoS-Attacke von Millionen im Internet der Dinge verbundenen Geräten das halbe Internet lahmlegte.
Eine ausführliche Untersuchung der Website Limited Results hat jetzt gezeigt, dass IoT-Geräte selbst nach dem Wegwerfen noch sensible Daten verraten können.
Die Bastler nahmen mehrere smarte Glühbirnen von Anbietern wie Lifx, Xiaomi, Tuya und Wiz in Betrieb und anschließend auseinander. Danach entfernten sie die darin verbauten Leiterplatten und versuchten, sie auszulesen.
Das Fazit: Es fanden sich in allen Lampen nahezu dieselben Sicherheitslücken. Manchmal wurde sogar derselbe Code verwendet, wie die Limited-Results-Betreiber Techcrunch sagten.
Die Daten waren in allen Fällen komplett unverschlüsselt, sogar das von dem Nutzer verwendete WLAN-Passwort konnte ausgelesen werden. Eines der Geräte soll sogar einen privaten Schlüssel für die RSA-Verschlüsselung offenbart haben, die etwa bei der Herstellung sicherer Serververbindungen verwendet werden. Unter dem Strich steht Hackern also mindestens das WLAN offen, wenn sie sich ein solches Gerät aus der Mülltonne schnappen.
Hersteller werben mit Alexa-Verknüpfung
Anzeige
Die Geräte sind offenbar so schlecht programmiert und gebaut, dass es ein Leichtes für einigermaßen versierte Personen ist, an sensible Informationen zu kommen – und das, obwohl das Problem schon seit Jahren bekannt ist.
Laut Techcrunch werben die Hersteller aller untersuchten smarten Glühbirnen sogar damit, dass die Lampen mit Alexa und Google Home funktionierten, was potenzielle Käufer in falscher Sicherheit wiegen könnte.
Um sich vor unberechtigtem Zugriff auf das Heimnetz zu schützen, sollten Nutzer zum einen in Betracht ziehen, zu einem teureren Premium-Modell zu greifen. In jedem Fall ist es aber ratsam, die IoT-Geräte in einem isolierten Subnetz oder einem Gastnetzwerk zu betreiben. Wenn möglich sollten Router und smarte Gadgets passwortgeschützt sein.