Homepage C-Security Cyberspace CSpionage CTerror  Gefährdung Kriminalität  Computer Kommunikation  Systeme Mensch Information Mobiltelephon Ramson Emission Schwachstellen
 Quanten Forschung Fachberichte Wirtschafte Technik Netzee Kryptologiee Geheimdienste kyb.Waffen Bildung Supercomp. Standorte I-Satelliten Diverses C-Politik  Verschlüsselung
Schwachstellen Hardware Programme Software History Kommunikation IoT / Geräte Militär Netzwerke Handys Mensch Spionagetools Tools Industrie
MS Exchange Solar Winds RamsonFlicken
Schwach-stellen
I o T mit Schwächen
Überleben in einer Welt IoT-fähigen
Internet-Provider könnte der Schlüssel zur Sicherung aller der IoT-Geräte bereits draußen sein.
Laut Forschern kannrn kann die Sprachsteuerungs-funktion der Fernbedienung Sicherheits-verletzungen unterliegen, so dass Hacker in die Fernbedienung einbrechen und sie als Aufnahmegerät verwenden können.
Frag-Attacks: Zahlreiche schwere Sicherheitslücken gefährden praktisch alle WLAN-Geräte
Auch alle Fritzboxen betroffen BSI warnt vor kritischer WLAN-
 
 
 
 
 


SecureList
>>>  3  >>>

Überleben in einer Welt IoT-fähigen
Gewusst wie: verwenden Sie intelligente Geräte und bleiben Sie sicher vor Hackern
Von Victor Alyushin, Wladimir Krylow auf 5. November 2015. 10:59
Schauergeschichten rund um das Internet der Dinge (IoT) zaubern Bilder von bösen Jungs in Hoodies, lebenden für Hacker und machen das Leben anderer Menschen schwierigere, erfinden Millionen von Möglichkeiten, Ihr Leben durch Ihre Gadgets zu infiltrieren. Aber ist diese Wahrnehmung Grund genug, auf die Verwendung von intelligenten Geräten? Wir glaube nicht; Wir glauben, dass Kunden sollten die potenziellen Risiken bewusst sein und wissen, wie man sie vor die IoT-fähigen Welt zu mildern.
erk.
Eine Smartphone-gesteuerte Kaffeemaschine
Was möglicherweise schief gehen könnte?
Risiko: Leckage des Kennworts, drahtloses Heimnetzwerk
Die Kaffeemaschine, die wir nach dem Zufallsprinzip ausgewählt haben kann aus der Ferne eine Tasse Kaffee zum genauen Zeitpunkt gewünschte vorbereiten. Nur die Zeit einstellen, und wenn der Kaffee fertig ist die app senden Sie eine Push-Benachrichtigung. Sie können auch den Status der Maschine durch eine app überwachen. Beispielsweise ist es möglich, herauszufinden, ob es nun oder nicht, brauen ist, wenn sie bereit für das Bierbrauen ist oder wenn es mal um den Wasserbehälter aufzufüllen. In anderen Worten, ein sehr schönes Gerät, verleiht, leider einem Angreifer eine Möglichkeit, das Passwort von Ihrem lokalen Wi-Fi-Netzwerk zu entführen.

Bevor Sie es verwenden, müssen Sie es einrichten. Es geschieht wie folgt: Wenn das Gerät angeschlossen ist, es erzeugt einen unverschlüsselten Hotspot und hört auf UPNP-Datenverkehr. Eine Smartphone mit der Anwendung für die Kommunikation mit der Kaffeemaschine zu diesem Hotspot verbindet und sendet eine Übertragungsanforderung UDP gefragt werden, ob es UPNP-Geräte im Netzwerk gibt. Als unser Kaffee reagiert Maschine ist ein solches Gerät auf diese Anfrage. Danach ist eine kurze Mitteilung mit der SSID und das Passwort mit dem drahtlosen Heimnetzwerk, unter anderem vom Smartphone an das Gerät gesendet.

Dies ist, wo wir ein Problem festgestellt. Obwohl das Passwort in verschlüsselter Form gesendet wird, werden die Komponenten des Verschlüsselungsschlüssels durch eine offene, ungeschützte Kanal gesendet. Diese Komponenten sind die Kaffeemaschine Ethernet-Adresse und einige andere einzigartige Anmeldeinformationen. Mit Hilfe dieser Komponenten, ist der Verschlüsselungsschlüssel im Smartphone erzeugt. Das Passwort mit dem Heimnetzwerk ist mit diesem Schlüssel mit 128-Bit AES verschlüsselt und schickte in base64 Form zur Kaffeemaschine. In der Kaffeemaschine der Schlüssel ist auch mittels dieser Komponenten generiert, und das Passwort entschlüsselt werden kann. Dann die Kaffeemaschine mit dem drahtlosen Heimnetzwerk verbindet und hört auf einen Hotspot zu sein, bis es zurückgesetzt wird. Von diesem Moment an ist die Kaffeemaschine nur über drahtloses Heimnetzwerk erreichbar. Aber es spielt keine Rolle, wie dann das Passwort bereits kompromittiert.
Status: die Sicherheitslücke ist immer noch vorhanden
Kommunikation mit Lieferanten
Wir haben unsere Ergebnisse an den Lieferanten der Kaffeemaschine berichtet, und der Verkäufer hat das Problem anerkannt und hat uns mit der folgenden Anweisung:
"Benutzerfreundlichkeit und Sicherheit sind uns sehr wichtig und wir bemühen uns ständig, die richtige Balance zwischen den beiden. Die tatsächlichen Risiken im Zusammenhang mit der Schwachstellen, die Sie während des Setups erwähnt sind extrem niedrig. Um Zugang zu erhalten, hätte ein Hacker zu physisch im Umkreis des Heimnetzwerkes zum genauen Zeitpunkt der Set-up, ein Zeitfenster von nur ein paar Minuten. Das heißt, müsste ein Hacker speziell gezielt einen intelligente Kaffeemaschine Benutzer und werden um genau an dem Punkt des Set-up, was sehr unwahrscheinlich ist. Aus diesem Grund glauben wir nicht, dass die potenziellen Schwachstellen rechtfertigen die erheblichen negativen Auswirkungen wird, die es auf User Experience haben, wenn wir die vorgeschlagenen Änderungen vornehmen. Obwohl keine konkrete Pläne, unsere Set-up-Verfahren zu ändern in den Werken sind, wir sind ständig Neubewertung und würde nicht zögern, Änderungen vorzunehmen, wenn Risiken mehr an Bedeutung gewinnen. Etwas in naher Zukunft ändern sollte werden wir Sie wissen lassen."
Wir nicht ganz einverstanden mit dieser Aussage und muss zugeben, dass die Angriffsfenster extrem kurz ist. Die Sicherheitsanfälligkeit könnte in mehrfacher Hinsicht gepatcht, aber anhand der Ergebnisse unserer eigenen Analyse, fast all diese Möglichkeiten würde bedeuten, dass Änderungen an der Hardware (der Ethernet-Anschluss auf der Kaffeemaschine oder eine Tastatur für das Passwort würde das Problem lösen) oder die Bereitstellung von einzigartigen Pin-Code für jede Kaffeemaschine, einschließlich derer, die bereits verkauft wurden , das ist nicht einfach aus logistischer Sicht. Solche Änderungen würde die Benutzerfreundlichkeit erheblich auswirken und den Setup-Vorgang würde weniger einfach.
Die einzige Software-Verlegenheit, die wir anbieten können ist, asymmetrischen Verschlüsselung implementieren. In diesem Fall würde die Kaffeemaschine haben aussenden der Verschlüsselung mit öffentlichem Schlüssel des Benutzers Smartphone und nur danach der Austausch sensibler Daten beginnen würde. Jedoch noch Benutzer in einem bestimmten Wi-Fi-Netzwerk, einschließlich des Angreifers die Kontrolle über die Maschine dadurch wäre. Der öffentliche Schlüssel wäre für jedermann zugänglich, und der erste Benutzer, es zu erhalten und stellen Sie die Verbindung mit der Kaffeemaschine werden in der Lage, es zu kontrollieren. Dennoch muss der berechtigte Benutzer der Kaffeemaschine mindestens einen Anhaltspunkt, dem etwas geht schief, als während/nach? ein erfolgreicher Angriff wäre sie nicht mit dem Gerät kommunizieren. Dies ist nicht der Fall mit der aktuellen Software läuft auf der Kaffeemaschine.
So wir sagen können, dass zu einem gewissen Grad wir die Anbieter Logik verstehen: die Höhe des Risikos dieser Frage bringt entspricht nicht den Grad der Komplexität der Maßnahmen, die umgesetzt werden müssen, um das Problem zu beseitigen. Abgesehen davon, wäre es falsch zu sagen, dass der Verkäufer nicht über die Sicherheit ihrer Produkte überhaupt denken: wie bereits erwähnt, wird das Kennwort in geschützter Form übertragen und müssen Sie die Antenne in besonderer Weise zu halten.
Jedoch die Anfälligkeit existiert noch und für einen intelligenten Verbrecher wäre es kein Problem zu nutzen um Ihr WLAN-Passwort zu erhalten. Die Situation ist interessant: Wenn Sie ein Benutzer dieser Kaffeemaschine, jedes Mal, wenn Sie ändern das Kennwort für Ihr WLAN-Heimnetzwerk um es sicherer zu machen, sind Sie tatsächlich dieses neue Kennwort aussetzt, weil jedes Mal, wenn Sie ein neues Passwort implementieren, Sie die Kaffeemaschine wieder einrichten müssen. Und man kann nie wissen, ob jemand Ihr Passwort oder nicht geschnüffelt hatte. Für manche Menschen kann dies kein Problem sein, aber für andere ist es sicherlich ein Sicherheitsproblem.
Aus diesem Grund geben wir nicht der Hersteller oder das Modell nicht zu unerwünschten auf die gefährdeten Produkt aufmerksam zu machen. Jedoch, wenn Sie einem Benutzer eine Smartphone-gesteuerte Kaffeemaschine und Sie besorgt über diese Frage sind, zögern Sie nicht, kontaktieren den Hersteller und Fragen sie, ob unsere Ergebnisse haben etwas mit dem Produkt zu tun, die Sie besitzen oder kaufen möchten.
Auf das letzte Kapitel unserer Reise in die unsicheren Welt des Internet der Dinge.