Sicherheit

7.339 Schwachstellen unter dem Weihnachtsbaum: IoT Inspector findet gefährliche Sicherheitslücken in beliebten Geschenken wie vernetztem Kinderspielzeug, Smart Speakern oder Hobbydrohnen

Auch in diesem Jahr wird jede/r Deutsche im Durchschnitt 280 Euro für Weihnachtsgeschenke ausgeben. Gerne landen dabei technische Gadgets wie interaktives Spielzeug, smarte Haushaltsgeräte oder vernetzte Unterhaltungselektronik unter dem Weihnachtsbaum. IoT Inspector hat deshalb beliebte Artikel namhafter Hersteller (u.a. aus den USA und Deutschland) untersucht und kam zu erschreckenden Ergebnissen: Jedes dieser Produkte verfügt über Hunderte von Schwachstellen, die Angreifern im schlimmsten Fall Zugang zu den Geräten ermöglichen. Die Angreifer sind dann in der Lage, auf private Netzwerke zuzugreifen, Daten zu stehlen, Geräte zu manipulieren oder gekaperte Geräte in ihre Botnets einzugliedern.

Die Security-Experten von IoT Inspector untersuchten einen fiktiven Geschenkkorb mit sechs Produkten renommierter Hersteller. Dabei fanden sie insgesamt über 7.000 Schwachstellen. In den meisten Fällen kam veraltete Software mit bekannten Schwachstellen zum Einsatz, teilweise sogar in der neuesten Firmware-Version. Bei der Untersuchung wurden jedoch auch bislang unbekannte Schwachstellen identifiziert, die umgehend an die Hersteller gemeldet wurden. Zudem fanden die Spezialisten mangelhafte Wartungszugänge, die Angreifern eine Fernsteuerung des Geräts ermöglichen. Hierdurch können die Geräte im schlimmsten Fall ihre Besitzer ausspionieren oder als Waffe für Angriffe auf weitere Ziele eingesetzt werden. „Zu unserem Erschrecken mussten wir feststellen, dass oft nicht einmal grundlegende Sicherheitsmaßnahmen eingehalten werden: So nutzen die Hersteller für ihre Firmware-Updates teilweise unverschlüsselte Transportwege. Cyberkriminelle können so den Datenverkehr umleiten und Malware in die Geräte einschleusen“, erklärt Rainer M. Richter, Geschäftsführer der IoT Inspector GmbH. „Bei einigen Geräten wird auch das WiFi-Passwort des Nutzers im Klartext gespeichert. In Verbindung mit anderen Schwachstellen kann das Passwort einfach ausgelesen werden, und Angreifer könnten sich dadurch unberechtigten Zugriff verschaffen. Diese sind typische Gründe, weshalb die Schwachstellen von IoT Geräten inzwischen zu einem der Haupteinfallstore für Angreifer zählen.“

Untersucht wurden folgende Geräte:

  • Smart Speaker mit Voice Control eines bekannten deutschen Herstellers: 1.634 Schwachstellen
  • Als „sicher“ beworbener Messenger für Kinder eines weltweit führenden Lernspielzeug-Anbieters: 1.019 Schwachstellen
  • Drohne eines der größten Anbieter in diesem Bereich: 1.250 Schwachstellen
  • Smart Home Kamerasystem eines US-amerikanischen Branchenriesen: 1.242 Schwachstellen
  • Haustier-Überwachungskamera, die häufig auch als Babycam verwendet wird: 643 Schwachstellen
  • Mit „größter Datensicherheit“ beworbenes Streaming-Device für Kinder: 1.551 Schwachstellen

„Uns war wichtig, nicht nur ‚No Name‘-Billigprodukte zu untersuchen, sondern zu zeigen, dass die Gefahren auch bei Produkten von renommierten Unternehmen lauern“, so Richter. „Insgesamt muss die ganze Branche endlich die Sicherheit von IoT-Geräten von Anfang an mitbedenken und umsetzen.“

Grundsätzlich sollte man bei IoT-Devices Vorsicht walten lassen und für diese ein separates Netzwerksegment einrichten. Darüber hinaus sollten Käufer/innen folgende Tipps beherzigen:

  • Prüfen Sie, ob der Hersteller eine Website hat. Viele Hersteller, die ihre Produkte auf den gängigen Onlinemarktplätzen verkaufen, sind ominöse Anbieter ohne Internetpräsenz oder Kontaktmöglichkeit.
  • Prüfen Sie, ob der Hersteller regelmäßige Firmware-Updates (vorzugsweise automatisch) zur Verfügung stellt.
  • Ändern Sie sofort das Passwort, falls das Gerät mit einem Standardpasswort ausgeliefert wird.
  • Finden Sie heraus, wie viele persönliche Informationen und Daten Sie einem Gerät zur Verfügung stellen. Wofür benötigt das Gerät diese Daten und wo werden diese gespeichert (nur lokal oder auch in der Cloud)? Viele Devices arbeiten mit Gesichts-, Sprach- und Fingerabdruckerkennung oder nehmen Bilder und Videos von Ihrem Haus, Ihrer Familie, Ihren Kindern auf. Fragen Sie sich, ob ein Gerät wirklich all diese Informationen benötigt.
  • Seien Sie sich der Angriffsfläche bewusst. So beträgt die Reichweite (und damit auch die Angriffsfläche) von Bluetooth-Verbindungen fünf bis zehn Meter, bei einer WiFi-Verbindung sind es bis zu hundert Meter. Ein Gerät, das online über eine App gesteuert wird, kann potenziell von überall auf der Welt angegriffen werden.
Über die IoT Inspector GmbH

IoT Inspector ist Europas führende Plattform für die automatisierte Sicherheitsanalyse von IoT-Firmware. Sie ermöglicht es nicht nur, auf effizienteste Weise Schwachstellen und Sicherheitsrisiken in der Firmware eines IoT-Geräts zu identifizieren, sondern diese mit Hilfe des integrierten Compliance Checkers auch auf die Erfüllung internationaler Sicherheitsstandards zu untersuchen. Weltweit wird der IoT Inspector von Unternehmen, Infrastrukturanbietern, Herstellern, Beratungsunternehmen und Forschern verwendet. Weitere Informationen unter https://www.iot-inspector.com/de/

Firmenkontakt und Herausgeber der Meldung:

IoT Inspector GmbH
Tannenwaldallee 2
61348 Bad Homburg
Telefon: +49 (6172) 943787
http://www.iot-inspector.com

Ansprechpartner:
Bastian Schink
Weissenbach PR
Telefon: +49 (89) 5506-7775
E-Mail: IoT-inspector_PR@weissenbach-pr.de
Julia Alunovic
Marketing & Communications
Telefon: +49 (6172) 943-787
E-Mail: julia@iot-inspector.com
Für die oben stehende Pressemitteilung ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet.

counterpixel