SmartThings Hub: Samsung patcht gegen unbefugten Remote-Zugriff

Zum Schutz vor Einbrechern sollten Nutzer des Smart-Home-Systems "Smart Things" von Samsung schnellstens die Hub-Firmware aktualisieren.

In Pocket speichern vorlesen Druckansicht 22 Kommentare lesen
SmartThings Hub: Samsung patcht gegen unbefugten Smart-Home-Zugriff aus der Ferne

(Bild: skeeze)

Lesezeit: 2 Min.

In der Firmware des Smart-Home-Controllers "Smart Things Hub" von Samsung stecken mehrere Sicherheitslücken. Der Controller ermöglicht die zentrale Verwaltung verschiedener Internet-of-Things-Geräte – etwa Smart Locks, Kameras, Bewegungssensoren, Thermostate – übers Smartphone.

Das Threat-Intelligence-Team Cisco Talos hat über 30 Lücken entdeckt, deren Schweregrad variiert. Einzeln seien sie mitunter schwer ausnutzbar – allerdings gäbe es mehrere denkbare Kombinationsmöglichkeiten zu so genannten "Exploit-Chains". Über eine solche Chain könnten sich Angreifer aus der Ferne Zugang zu sensiblen Informationen verschaffen. Sie könnten Geräte im Haus (z. B. Kameras) überwachen, sie kontrollieren (z. B. Smart Locks öffnen, Bewegungssensoren deaktivieren etc.), aber auch durch gezielte Manipulation physisch beschädigen.

Details zu den einzelnen Lücken sowie zu denkbaren Exploit-Chains sind Cisco Talos' Blogpost zu entnehmen.

Getestet und für sicherheitsanfällig befunden hat Cisco Talos die Kombination aus Samsung SmartThings Hub STH-ETH-250 (Hub v2) mit der Firmware-Version 0.20.17. Allerdings ist es angesichts der Menge der Lücken sehr wahrscheinlich, dass auch andere Versionen betroffen und zumindest für einige der entdeckten Exploit-Chains anfällig sind.

Cisco Talos rät deshalb allen Besitzern eines SmartThings Hub zum umgehenden Firmware-Update. Samsung hat die Lücken in Zusammenarbeit mit den Forschern von Cisco in Version 22.13 geschlossen (siehe Release-Notes); die aktuellste Version 22.14 umfasst weitere kleinere Bug-Fixes. Eine detaillierte Installationsanleitung finden Betroffene auf Samsungs SmartThings-Website. (ovw)