Ihre Philips Hue- und Nest-Systeme könnten angreifbar sein

Last updated 24. Februar 2023

Wenn wir über Sicherheit sprechen – und wir meinen die Cybersicherheit unseres Zuhauses – stellen sich die meisten von uns Hacker auf Bond-Filmebene in dunklen Räumen vor, die unsere Kameras, Alarme und Türschlösser fachmännisch ausnutzen.

Aber da intelligente Geräte in digitale Ökosysteme verstrickt werden – Nest, Google Assistant und Alexa, um nur einige zu nennen – kann selbst ein schwaches Glied alle Geräte anfällig für Angriffe machen. Und neue Forschungsergebnisse zeigen, dass es unsere intelligenten Glühbirnen und vernetzten Kaffeemaschinen sind, die unser Zuhause gefährden könnten.

Großes Urteil: Philips Hue Test

Ein Team von Informatikern des College of William & Mary testete die Sicherheit mehrerer derzeit auf dem Markt befindlicher Smart-Home-Produkte und fand erhebliche Schwachstellen, die möglicherweise dazu führen, dass Technologieunternehmen die Art und Weise, wie ihre Geräte interagieren, überdenken müssen.

Das Team untersuchte einen Angriff namens „Lateral Privilege Escalation”, der ein Low-Stakes-Gerät oder eine App kompromittiert, um Zugang zu einem High-Stakes-Gerät wie einer Überwachungskamera zu erhalten. Die Ergebnisse zeigen Mängel, nicht unbedingt in den Geräten selbst, aber in die Architektur von Plattformen, die als zentrale Drehscheibe des Smart Home dienen.

Und obwohl diese Schwachstellen allzu oft auf No-Name-Geräten gefunden werden, die einer Handvoll Personen gehören, hat das Forschungsteam bei der Evaluierung sowohl bei Philips Hue- als auch bei Nest-Produkten Probleme festgestellt, die einer Verbesserung bedürfen.

„Es ist ein Softwareproblem, das sich auf die physische Umgebung ausbreitet, und es ist etwas, das Sie nicht sofort beheben können”, sagte Studienautor Adwait Nadkarni, Assistenzprofessor für Informatik bei William & Mary. „Wenn Sie diese Geräte mit geringer Sicherheit nicht sichern, kann sogar die indirekte Kommunikation zwischen diesen beiden Geräten Ihr Smart Home gefährden.”

Nadkarni und seine Kollegen verwendeten ein simuliertes Smart-Home-Setup, bei dem sie mehrere Geräte mit einer Smart-Home-Plattform verbanden, und sahen, wie weit die Angriffe gehen konnten. Mit über 20 Milliarden Smart-Home-Produkten, die voraussichtlich bis 2020 im Einsatz sein werden, hat ihre Arbeit weitreichende Auswirkungen auf die physische Sicherheit der Benutzer. Die Studie wurde zur Conference on Data and Application Security and Privacy der Association for Computing Machinery (ACM) angenommen und wird im März 2019 vorgestellt.

Infiltrieren Sie Ihre Routinen

Die Heimautomatisierung wird durch die Implementierung von Routinen angetrieben, bei denen es sich um Abfolgen von App- und Geräteaktionen handelt, die bei einem oder mehreren Auslösern ausgeführt werden. Wenn Sie beispielsweise das Alarmsystem einschalten, bevor Sie das Haus verlassen, können Sie Ihr intelligentes Thermostat so programmieren, dass es sich automatisch ausschaltet, um Strom zu sparen. Smart-Home-Plattformen wie Works with Nest von Google, Samsung SmartThings und Philips Hue verfolgen alle angeschlossenen Geräte und deren Zustände über Variablen in einem zentralen Datenspeicher.

„Ein Anwesenheitssensor zeigt an, ob ein Benutzer zu Hause ist, und passt diese Variable im zentralen Datenspeicher entsprechend an”, sagte Nadkarni. „Dann reagieren die restlichen Geräte so, wie Sie es möchten, wenn Sie zu Hause sind – das Licht geht an, der Thermostat dreht auf usw. – aber in einigen Fällen können diese Variablen ausgenutzt werden.”

Beispielsweise könnten Hacker ein Gerät mit geringer Sicherheit wie Ihre Beleuchtung kompromittieren, das zufällig Zugriff auf die Anwesenheitsvariable hat. Wenn sie ihren Status ändern, um der Plattform fälschlicherweise mitzuteilen, dass Sie zu Hause sind, obwohl Sie in Wirklichkeit meilenweit im Urlaub sind, könnten die Angreifer die Aktionen von Hochsicherheitsgeräten wie Kameras und Türschlössern verändern.

Die Forscher fanden heraus, dass von Nest unterstützte Routinen es Geräten und Apps mit niedriger Sicherheit ermöglichen, den Status von Geräten mit hoher Sicherheit indirekt zu ändern, indem sie die gemeinsam genutzten Variablen ändern, auf die sie sich beide verlassen. Sie waren in der Lage, eine laterale Privilegien-Eskalation durchzuführen, indem sie die Kasa-App kompromittiert und indirekt den Status einer Variablen geändert haben, wodurch die Nest-Überwachungskamera ausgeschaltet wurde.

„Wenn die Dinge so weitergehen wie bisher, wird die Zahl der Sicherheitsprobleme exponentiell zunehmen, wenn die Menschen ihr Smart Home um weitere Geräte erweitern”, sagte Studienautor Denys Poshyvanyk, außerordentlicher Professor für Informatik bei William & Mary. „Wenn jedoch einige systematische Anstrengungen unternommen werden, um diese Plattformen unter Berücksichtigung der Sicherheit neu zu gestalten, können diese Angriffe verhindert werden – dies würde jedoch die Annahme einiger gemeinsamer Standards durch diese Unternehmen erfordern.”

Mehrere der in der Studie erwähnten Unternehmen, darunter Google und Philips, haben gegenüber Nadkarni und Poshyvanyk bestätigt, dass ihre Ingenieure sich mit diesen Sicherheitsproblemen befassen. Joshua Meyer, Associate Security Analyst beim Beratungsunternehmen Independent Security Evaluators, der nicht an der Studie beteiligt war, ist der Ansicht, dass Hersteller die Sicherheit bereits in den frühesten Designphasen eines Produkts oder einer Plattform berücksichtigen müssen. Er räumt jedoch auch ein, dass Apps von Drittanbietern unerwartete Sicherheitsrisiken für das Netzwerk darstellen können.

„Jede Anwendung oder jedes Gerät, das sie nicht kontrollieren, kann Sicherheitsrisiken für das Netzwerk darstellen. Problematisch ist in diesem Zusammenhang der Bereich Smart Home, in dem mehrere Geräte verschiedener Hersteller kooperativ arbeiten sollen”, so Meyer.

„Smart-Home-Plattformen müssen die inhärente Unsicherheit einiger Geräte antizipieren und starke Sicherheitskontrollen für die anderen Geräte in einem Netzwerk bereitstellen.”

Natürlich kämpfen Technologieunternehmen an allen Fronten, um Smart-Home-Geräte zu sichern. Während der illegale Zugriff auf Geräte eine Sache ist, ist die Versklavung von Geräten als Teil von Botnets eine ganz andere – und eine gut dokumentierte Bedrohung für die kommenden Jahre. Es zeigt, wie Mayer abschließend feststellte, dass es entscheidend ist, dass die Verantwortlichen für die Ökosysteme, die in unseren Häusern laufen, sich ebenso auf die Sicherheit wie auf neue Funktionen konzentrieren.