ehome-news.de Smarte Technologien für zu Hause
Dojo, eine Tochterfirma des IT Security-Unternehmens Bullguard, hat massive Sicherheitslücken bei iSmartAlarm festgestellt. Angreifer können die Kontrolle über das gesamte System übernehmen. Bislang gibt es noch keine Lösung.
Sicherheitslücken bei iSmartAlarm: Hersteller hat seit Januar Kenntnis
Wenn Sie Komponenten von iSmartAlarm verwenden, genießen Sie sie mit Vorsicht oder gar nicht mehr. Denn die vor kurzem veröffentlichten Sicherheitslücken bei iSmartAlarm sind aktuell noch nicht geschlossen und können weiterhin ausgenutzt werden. Dojo hat den Hersteller bereits Ende Januar kontaktiert und wenige Tage später detaillierte Infos weitergegeben. Seitdem herrscht offenbar Funkstille und die Arbeiten an entsprechenden Fixes dauern an.
Welche Komponenten sind betroffen?
Kurz gesagt: Alle Komponenten sind betroffen. Denn wer sich Zugang zum System verschaffen möchte, interessiert sich als erstes für das Herzstück: Den iSmartAlarm Cube. Dojo hat bei diesem Gerät gleich 3 Lücken aufgedeckt:
- SSL-Zertifikat wird nicht überprüft
Angreifer können die verschlüsselte Übertragung mithilfe ihres selbsterstellten Zertifikats aushebeln.
Folge: Zugriff auf den Cube - Fehler in der Zugriffskontrolle
Nach dem Eindringen können Angreifer neue Schlüssel generieren, um Befehle an den Cube zu senden.
Folge: Sämtliche Funktionen in der Hand des Angreifers - Authentifizierung lässt sich umgehen
Die App bietet darüber hinaus Zugriff auf interne Hersteller-Webseiten aus dem Support-Bereich. Darüber lassen sich Tickets erstellen und andere Cubes übernehmen.
Folge: Angreifer könnten jeden aktiven iSmartAlarm Cube einfach steuern.
Wir möchten Sie hier nicht mit den technischen Details langweilen. Nur so viel: Wer ein wenig Ahnung von der Materie hat, kann die Sicherheitslücken bei iSmartAlarm laut Dojo ohne große Probleme ausnutzen und das komplette System übernehmen. Die Experten berichten von Postadressen, Zugriff auf Sicherheits-Kameras, Aussperren der Nutzer, Deaktivieren des Alarms und so weiter.
Wann werden die Lücken geschlossen?
Das ist die wohl wichtigste Frage. Aktuell gibt es keinen Hinweis dazu – im Gegenteil: Der Hersteller steckt den Kopf in den Sand und hält sich bedeckt. Das ist ein Paradebeispiel, wie man es nicht macht. Doch bevor Sie jetzt die komplette Branche verteufeln: Es geht auch anders. Denn die Sicherheitslücken bei iSmartAlarm betreffen eben nur dieses eine System. Und viele andere Entwickler geben jeden Tag Vollgas, um für wirklich sichere Smart Home Produkte zu sorgen.
