Im Laufe der Woche wurden mehrere Nachrichten zum Thema „Was ist noch los mit IoT?“ Aufgenommen (vorherige Ausgaben:
1 ,
2 ,
3 ). In der Weboberfläche für GPS-Tracker, in D-Link-Netzwerkvideokameras und ähnlichen Geräten verschiedener Hersteller aus China sowie in LCD-Panels mit drahtloser Verbindung, die normalerweise für Büropräsentationen verwendet werden, wurden Sicherheitslücken festgestellt.
Beginnen wir mit dem Problem, das die maximale Anzahl von Geräten betrifft: Camcorder, ferngesteuerte Türklingeln und Babyphone vieler Hersteller aus China. Der Forscher Paul Marrapeze entdeckte (
Nachrichten , ein kurzer
Bericht ), dass der Zugriff auf solche Geräte ohne Autorisierung durch Sortieren von Seriennummern möglich ist, die mit einem einfachen Algorithmus zusammengestellt werden.
Alle Geräte verwenden eine gemeinsame Fernbedienungsanwendung namens iLnkP2P. Bei der ersten Verbindung muss der Besitzer des IoT-Geräts den auf dem Gehäuse aufgedruckten Barcode scannen oder die Seriennummer manuell eingeben. Dementsprechend können Angreifer problemlos den gesamten Bereich der Seriennummern scannen, Arbeitsgeräte finden und mit dem Standard-Login und -Kennwort darauf zugreifen.
Selbst wenn der Eigentümer das Kennwort ändert, kann es in einigen Fällen abgefangen werden, da einige der anfälligen Geräte keine Datenverschlüsselung verwenden. Laut dem Forscher wird für einige Geräte eine Datenverschlüsselung beansprucht, obwohl die Informationen tatsächlich im Klartext übertragen werden. Insgesamt wurden 15 Gerätetypen von mindestens sechs verschiedenen Herstellern identifiziert. Es ist unwahrscheinlich, dass eine vollständige Liste anfälliger Geräte erstellt wird. Es ist einfacher, sie anhand des Namens der Anwendung und eines Teils der Seriennummer zu identifizieren.
Der Anwendungsentwickler hat nicht auf die Anfragen des Forschers reagiert, und es ist unwahrscheinlich, dass er diese Sicherheitsanfälligkeit vollständig schließen kann: Er muss den Autorisierungsmechanismus für neue Geräte aufheben. Außerdem scheint die Seite des Softwareentwicklers gehackt zu sein, dort gibt es ein Skript, das Besucher auf den chinesischen Spielplatz umleitet. Es hilft nur, die Datenübertragung über den UDP-Port 32100 zu blockieren, über den Geräte auf das Internet zugreifen.
Der Autor einer weiteren „Studie“ hat klare Probleme mit einem ethischen Ansatz zur Suche nach Schwachstellen. Anstatt den Anbieter zu benachrichtigen, hackte ein Hacker namens L & M Zehntausende von Geolocation-Serviceprofilen und gab Informationen an die Medien weiter (
Nachrichten , Originalartikel auf dem Motherboard). Dies ist ein Webdienst für die ProTrack- und iTrack-GPS-Tracker.
Diese Tracker werden normalerweise in Autos eingebaut und ermöglichen es Ihnen, Bewegungen aus der Ferne zu verfolgen. In einigen Fällen sind erweiterte Funktionen möglich, z. B. das Starten und Stoppen des Motors. Für den Zugriff auf Daten und Steueranwendungen werden Smartphones verwendet. Bei der Untersuchung von Anwendungen stellte L & M fest, dass Service-Clients standardmäßig das Kennwort 123456 erhalten und nicht von jedem geändert werden.
Infolgedessen wurde es möglich, auf Daten über den Standort des Geräts, den tatsächlichen Namen des Kunden, zuzugreifen, und für einige Geräte war es möglich, den Motor aus der Ferne abzustellen, wenn das Auto mit einer Geschwindigkeit von bis zu 20 Stundenkilometern steht oder sich bewegt. Das Motherboard konnte die vier Besitzer der Geräte kontaktieren und die Authentizität der ohne Autorisierung empfangenen Daten bestätigen. Eine interessante und potenziell gefährliche Sicherheitslücke, aber auf jeden Fall werden Sicherheitsstudien etwas anders durchgeführt.
Fügen Sie die ESET-Studie (
Nachrichten , Unternehmensbericht) zur Sicherheitsanfälligkeit in D-Link DCS-2132L-IP-Kameras zur Liste der IoT-Probleme hinzu. Experten haben festgestellt, dass ein erheblicher Teil der Daten zwischen der Kamera und der Steuerungsanwendung ohne Verschlüsselung übertragen wird. Dies ermöglicht das Abfangen von Videodaten, jedoch nur mit einem Man-In-The-Middle-Skript oder mit Zugriff auf ein lokales Netzwerk. Im letzteren Fall kann die Gerätefirmware ausgetauscht werden.
Schließlich fanden Forscher von Tenable Security (
Nachrichten ,
Bericht ) 15 Sicherheitslücken in beliebten drahtlosen Displays verschiedener Hersteller, darunter Crestron AirMedia und Barco wePresent. Alle betroffenen Monitore verwenden (fast) denselben Code, um Computer drahtlos zu verbinden. Diese Geräte benötigen zum einen keine Kabel für die Verbindung mit einem Computer und können zum anderen über die Webschnittstelle gesteuert werden. Bei der Untersuchung des Crestron AM-100-Geräts festgestellte Sicherheitslücken ermöglichen den vollständigen Zugriff auf den drahtlosen Monitor.
Dieses Problem ist im Zusammenhang mit dem Szenario der Verwendung solcher Panels interessant: Sie werden in Büros installiert, können auf das lokale Netzwerk des Unternehmens zugreifen und gleichzeitig den Gästen den Zugriff auf das Panel selbst vereinfachen. Ungenaue Monitoreinstellungen können den Schutz eines Computernetzwerks ernsthaft beeinträchtigen. Laut Forschern wurden die Sicherheitslücken teilweise durch ein Software-Update abgedeckt.
Haftungsausschluss: Die in dieser Übersicht geäußerten Meinungen stimmen möglicherweise nicht immer mit der offiziellen Position von Kaspersky Lab überein. Sehr geehrte Redakteure empfehlen generell, Meinungen mit gesunder Skepsis zu behandeln.