Gravierende Sicherheitslücken in Belkins Heimautomation

Die auch in Deutschland vertriebenen Heimautomationskomponenten der Wemo-Serie können laut IOActive nicht nur von Fremden übers Internet ferngesteuert werden, sondern durch ein bösartiges Firmware-Update auch zur Schnüffelsonde mutieren.

In Pocket speichern vorlesen Druckansicht 74 Kommentare lesen
Lesezeit: 2 Min.

Der Sicherheitsdienstleister IOActive ging heute mit einem Warnhinweis an die Öffentlichkeit, nachdem Belkin – Hersteller des Wemo-Heimautomationssystems – auf wiederholte Anfragen des von IOActive alarmierten US-CERT (Computer Emergency Response Team) nicht reagierte. Das US-CERT veröffentlichte nach Aufdeckung durch IOActive ebenfalls eine Warnung.

Laut IOActive kann ein Angreifer manipulierte Firmware in die Wemo-Adapter einschleusen, weil die Originalfirmware zwar SSL-Verschlüsselung zum Übertragen der Updates nutzt, aber dabei die vorgelegten Server-Zertifikate nicht überprüft. So kann ein Cracker in der Position des Man-in-the-Middle vorgaukeln, dass seine Binärdatei aus einer vertrauenswürdigen Quelle kommt.

Ob ein Firmware-Update vorliegt, erfahren Wemo-Geräte laut US-CERT aus einem unverschlüsselten RSS-Feed. Der wiederum läuft über ein VPN-ähnliches Netz, das die Wemo-Geräte und Server nach IOActive-Erkenntnissen mit einem "missbrauchten" VoIP-Protokoll bilden, um trotz NAT im Router direkt miteinander kommunizieren zu können. Hat er einen Wemo-Adapter lokal unter Kontrolle gebracht, kann der Angreifer wegen der fehlenden Server-Authentifizierung darüber Firmware-Updates auf anderen Wemo-Geräten auslösen.

Hausschlüssel liegengelassen

Auch die letzte Hürde überwanden die IOActive-Forscher anscheinend: Die Authentizitätsprüfung des Binaries wollen sie umgangen haben, indem sie aus der Originalfirmware den zum Signieren der Binärdatei verwendeten privaten Schlüssel extrahierten. Damit steht der Weg offen, beispielsweise im Heimnetz mittels ARP-Spoofing allen Internet-Verkehr über ein Wemo-Gerät umzuleiten, interessante Daten an Dritte weiterzugeben oder als Proxy weitere Hosts im internen Netz anzugreifen.

Angesichts dessen erscheint die Möglichkeit nebensächlich, an Wemo-Switches angeschlossene Stromverbraucher willkürlich ein- oder auszuschalten. Als einzig mögliche Abhilfe bis zum Firmware-Patch durch Belkin empfiehlt IOActive, alle Wemo-Adapter vom Stromnetz zu nehmen.

[Update 19.2.2014 9:35] Belkin teilte heute mit, dass die von IOActive gemeldeten Lücken mit der am 14. Januar ausgegebenen Firmware-Version 3949 behoben worden seien. Nutzer sollen umgehend ihre Smartphone-Apps auf die aktuellen Versionen 1.4.1 (iOS) und 1.2.1 (Android) updaten und damit dann die Firmware ihrer Wemo-Geräte auffrischen. (ea)