So (un)sicher sind Home-Entertainment-Systeme

Das eigene Wohnzimmer gehackt – So (un)sicher sind Home-Entertainment-Systeme

Sicherheitsexperte von Kaspersky Lab testet im Selbstversuch Smart-TV, Router und NAS-Speicher

Moskau/lngolstadt, 26. August 2014 – Zur IFA (5. bis 10. September 2014 in Berlin) werden wieder unzählige neue mit dem Internet verbundene Geräte präsentiert. Vor allem mit dem Web verbundene Home-Entertainment-Systeme offenbaren zahlreiche Sicherheitsrisiken. Das ist das Ergebnis eines Selbstversuchs, den der Sicherheitsexperte David Jacoby von Kaspersky Lab mit Hilfe der Ausstattung in seinem eigenen Wohnzimmer durchführte [1]. Neben Schwachstellen in der Software und fehlenden Sicherheitsvorkehrungen bereiteten unsichere Passwörter und unverschlüsselte Kommunikation Probleme.

David Jacoby, Security Evangelist bei Kaspersky Lab, begutachtete für seinen Selbstversuch zwei NAS-Speicher-Systeme (Network Attached Storage) verschiedener Hersteller, ein Smart-TV-Gerät, einen Satelliten-Receiver, einen Router sowie einen internetfähigen Drucker.

Allein die Speicher zeigten dabei 14 Sicherheitslücken, eine weitere entfiel auf das Smart-TV-Gerät. Außerdem stieß Jacoby auf zahlreiche versteckte Remote-Control-Möglichkeiten im Router.

NAS-Speicher gibt Passwörter preis

Die gefährlichsten Sicherheitslücken fand der Sicherheitsexperte bei den NAS-Speichern. Potenzielle Angreifer können demnach aus der Ferne das System kompromittieren und eigenen Code mit Administratorenrechten ausführen. Zudem waren die voreingestellten Administratorpasswörter der Geräte nicht sicher, die Rechte vieler Konfigurationsdateien falsch eingestellt und Passwörter wurden im Klartext gespeichert. Das voreingestellte Administratorpasswort eines Geräts enthielt nur eine einzige Ziffer. Bei einem anderen Gerät konnte man über das Netzwerk auf die komplette Konfigurationsdatei mit den verschlüsselten Passwörtern zugreifen.

Jacoby gelang es durch Ausnutzung einer anderen Software-Schwachstelle, eigene Dateien in einen Speicherbereich zu laden, der normalerweise für die Anwender nicht zugänglich ist. Handelt es sich um entsprechende Schadsoftware, könnte ein derart manipuliertes Gerät auch alle weiteren infizieren, die sich mit dem NAS verbinden – zum Beispiel einen Heimanwender-PC. Ein infizierter NAS-Speicher wäre sogar für DDoS-Attacken eines Botnetzes nutzbar. Da die Malware in einem normalerweise nicht zugänglichen Speicherbereich liegen würde, könnte sie nur über dieselbe Schwachstelle wieder entfernt werden – was den durchschnittlichen Heimanwender überfordern dürfte.

Man-in-the-middle im Smart-TV

Bei der Analyse seines Smart-TV konnte der Kaspersky-Experte feststellen, dass dieser unverschlüsselt über das Internet mit den Servern des Geräte-Herstellers kommuniziert. Das öffnet die Tür für potenzielle Man-in-the-middle-Attacken. Dabei schaltet sich ein Angreifer zwischen Smart-TV und Hersteller. Nutzen Anwender ihr Gerät für Online-Einkäufe, könnten damit Gelder direkt auf Konten von Angreifern transferiert werden. Als Beweisführung konnte Jacoby ein Icon des Herstellers auf der graphischen Oberfläche seines Smart-TV durch ein eigenes Bild ersetzen. Weiterhin stellte der Sicherheitsexperte fest, dass sein Smart-TV auch Java-Code ausführen kann. In Kombination mit dem Abfangen des Datenverkehrs zwischen Fernseher und Internet können so Exploit-basierte Attacken durchgeführt werden.

Router hat Spionage-Qualitäten

Der DSL-Router von Jacoby für den drahtlosen Zugang zum Internet hatte zahlreiche, für den Nutzer versteckte Features. Einige davon geben dem Internet Service Provider (ISP) Zugriff auf jedes Gerät im Heimnetzwerk.

Jacoby fand in der Internetschnittstelle seines Router Funktionen wie „Web Cameras“, „Telephony Expert Configure“, „Access Control“, „WAN-Sensing“ und „Update“. Ursprünglich wurden solche Features von den ISPs eingebaut, um möglichst einfach technische Probleme auf Anwenderseite lösen zu können. Tatsächlich sind sie aber enorme Sicherheitsrisiken. Die Internetschnittstelle besteht nur aus Webseiten mit alphanumerischen Adressen. Mit Hilfe einer universellen Schwachstelle könnten Angreifer über eine einfache Manipulation der Nummern am Ende der Adresse zwischen den Funktionen hin und her wechseln.

„Sowohl Nutzer als auch Hersteller sollten die Sicherheitsrisiken kennen, wenn Geräte mit dem Internet verbunden sind“, sagt David Jacoby, Security Analyst bei Kaspersky Lab. „Außerdem sollte Anwendern klar sein, dass nur starke Passwörter wirklich sicher sind und es immer versteckte unkontrollierbare Features geben kann. Bei einem Gerät, das als sicher gilt und dies auch noch in seinem Namen ausdrückt, konnte ich innerhalb von nur 20 Minuten sehr ernste Sicherheitslücken entdecken.

Welche Risiken würde da wohl erst eine groß angelegte Untersuchung zu Tage bringen? Das ist nur eine von vielen Fragen, die Gerätehersteller zusammen mit Sicherheitsexperten und Anwendern rasch diskutieren sollten. Eine andere Frage betrifft die Lebensdauer der Geräte. Aus Gesprächen mit Herstellern weiß ich, dass einige keine Sicherheitsupdates mehr zur Verfügung stellen, sobald eine neue Gerätegeneration auf den Markt kommt. Bei NAS ist das zum Beispiel alle ein oder zwei Jahre der Fall, die Speicher werden jedoch viel länger genutzt.“

Security-Tipps für internetfähige Geräte

Um internetfähige Geräte möglichst keinen Angriffen auszusetzen, sollten Anwender daher die folgenden Tipps beachten:

  • alle Geräte immer mit den neuesten Sicherheits- und Firmware-Updates versehen,
  • voreingestellte Benutzernamen und Passwörter durch sichere Kennwörter ersetzen,
  • sowie alle Möglichkeiten nutzen, den Netzwerk-Zugriff auf die Geräte einzuschränken. So benötigt etwa ein Drucker keinen Zugriff auf ein TV-Gerät. Möglich ist das über unterschiedliche Netzwerksegmente (DMZ) oder VLAN, mit dessen Hilfe das physikalische Netz logisch separiert werden kann.

Die komplette Studie von David Jacoby ist unter dem Titel „Internet of Things: How I Hacked My Home“ auf

http://securelist.com/analysis/publications/66207/iot-how-i-hacked-my-home/ verfügbar.

Newsletter Anmeldung

Erhalten Sie immer die aktuellsten IT-Security News - Von Profis, für Profis.