35C3: Über die "smarte" Glühbirne das Heimnetzwerk hacken

Der Sicherheitslevel zahlreicher Smart-Home-Geräte ist laut einem Techniker minimal. Nutzerdaten könnten einfach ausgelesen, Trojaner installiert werden.

In Pocket speichern vorlesen Druckansicht 234 Kommentare lesen
35C3: Über die "smarte" Glühbirne das Heimnetzwerk hacken

(Bild: CC by 4.0 35C3 media.ccc.de)

Lesezeit: 6 Min.
Inhaltsverzeichnis

Das smarte Heim und das sich darin breitmachende Internet der Dinge gilt seit Langem als große Spielwiese für Hacker. Jenseits von vergleichsweise komplexen Systemen mit Kamera und Mikrofon wie intelligenten Lautsprechern lässt sich mittlerweile schier jedes elektronische Haushaltsgerät bis hin zur Glühbirne oder Steckdose mit Lösungen fürs Internet of Things (IoT) aus der Box ans Netz anschließen und in die Cloud bringen. Dies vergrößert die Flächen für massive IT-Angriffe enorm.

"Der Sicherheitslevel dieser Geräte ist minimal", erklärte Michael Steigerwald, Mitgründer des IT-Security-Startups Vtrust, am Freitag auf dem 35. Chaos Communication Congress (35C3) in Leipzig nach einem umfangreichen Test. "Alles, was ich probiert habe, hat direkt funktioniert", verwies er auf umfangreiche Hackmöglichkeiten. Brisante Daten lägen offen abgreifbar im Speicher, die Kommunikationsübertragung erfolge meist und just in kritischen Fällen unverschlüsselt, der sonstige Einsatz kryptografischer Schutzmechanismen stelle "keine Hürde" für halbwegs versierte Angreifer dar.

Bei seiner Untersuchung konzentrierte sich Steigerwald auf einen chinesischen IoT-Modul-Hersteller und Cloud-Anbieter, der damit werbe, bereits über 11.000 Produkte von über 10.000 Produzenten in 200 Ländern reif fürs Smart Home gemacht zu haben. Dessen App-basierte Basis-Plattform erlaube es jedem Interessierten, nach dem Zahlen einer Anmeldegebühr von 1500 US-Dollar vernetzte Geräte online zu personalisieren, zu bestellen, ein eigenes Label aufzudrucken und so selbst zum Smart-Home-Anbieter zu werden. Stutzig gemacht habe ihn dabei schon, dass der Ausrüster "militärtaugliche Sicherheit" verspreche, aber auch auf heimliche, erzwungene Firmware-Updates verweise.

Kurzerhand bestellte sich der Elektro- und Informationstechniker 20 einschlägige Module aus Fernost, fand aber parallel auch hierzulande schneller beziehbare, mit der Lösung des Herstellers aufgerüstete Glühbirnen. Sie ließen sich rasch mit dem Smartphone registrieren und konfigurieren, mit der Cloud des Anbieters verbinden und so übers Netz an- oder ausschalten. Für die Verbindung mit den Rechnerwolken sorgt das offene Nachrichtenprotokoll MQTT (Message Queuing Telemetry Transport), im Inneren läuft bei den meisten einschlägigen Geräten der WLAN-fähige ESP8266-Kleinprozessor des chinesischen Herstellers Espressif, der auch für den Eigenbau von Smart-Home-Helfern gern verwendet wird.

Der ein Megabyte große Flashspeicher sei mithilfe des Werkzeugs Esptool nach etwas Löten recht einfach auslesbar gewesen, schilderte Steigerwald. Dort habe sich auf verschiedenen Partitionen die Firmware nebst der unverschlüsselten WLAN-Kennung und dem Passwort gefunden sowie diverse Schlüssel und die Seriennummer. Authentisierungsdaten und eine Produkt-ID würden damit in das Modul einprogrammiert, auch zwei Keys für das Verschlüsseln und Signieren der Kommunikation seien dabei gewesen.

Um ein solches Gerät zu kapern, reiche es, eine eigene Produktkennung in den Flashspeicher zu schreiben, die Prüfsumme zu korrigieren und das Ergebnis mit Esptool "zurückzuflashen", führte der Hard- und Software-Entwickler aus. Damit sei die gekaufte Leuchte in seinem Cloud-Konto nebst E-Mail-Adresse und vielen weiteren persönlichen Informationen wie der Handy-Nummer, Koordinaten, Standort oder An- und Ausschaltvorgängen erschienen.

Diese umfangreichen Daten, die sich bestens sammeln, auswerten und weiterverkaufen lassen, werden laut Steigerwald standardmäßig sieben Tage, "auf Nachfrage aber auch länger" gespeichert. Der Ausrüster habe angegeben, dass ein Betrieb der vernetzten Dinge ohne Speichern in seiner Cloud nicht möglich sei. Dazu kämen "sehr lange und verwirrende Datenschutzbestimmungen", die wohl kaum mit EU-Recht vereinbar sein dürften. Als deutscher Reseller könne man die Geräte so eigentlich gar nicht auf den Markt bringen.

Mehr Infos

Um weitere Angriffsszenarien und Betriebsmöglichkeiten ohne Cloud auszuloten, baute der Tüftler ein Testset auf mit einem Raspberry-Pi-Mikrocontroller, Kali-Linux, einem DNS- und HTTP-Server, einer dank eines im Klartext verfügbaren Schlüssels funktionsfähigen MQTT-Drehscheibe und dem Sniffer Wireshark. Damit konnte er etwa eine "Man in the Middle"-Attacke durchführen, um ausgetauschte Daten auszulesen und zu manipulieren. Per Kryptoanalyse und dank einer guten Schnittstellendokumentation fand Steigerwald "in einem kleinen 60-Zeilen-Skript alle Verschlüsselungen" wie einen 128-Bit-AES-Schlüssel und eine mit dem als unsicher geltenden MD5-Algorithmus signierte MD5-Checksumme. Auch das nicht besser abgesicherte Registrierungsverfahren sei leicht zu knacken gewesen.

Michael Steigerwald

(Bild: CC by 4.0 35C3 media.ccc.de)

In einer Demo führte der Berater vor, wie sich mithilfe der Testumgebung eine eigene Firmware – oder aber auch ein Trojaner – auf die Glühbirne aufspielen ließen. Zu sehen war, wie sich die Lampe anmeldete, Nachrichten ausgetauscht wurden und sich die Upgrade-Quelle in Echtzeit ändern ließ. Die benötigten "Trigger"-Kommandos habe er automatisiert und werde sie mit weiteren hilfreichen Skripten für den Hack alsbald online veröffentlichen, gab Steigerwald bekannt. Die Glühbirne sei damit im Handumdrehen fremdzusteuern, ohne dass der Nutzer davon etwas merke. So könne man etwa die WLAN-Zugangsdaten herausholen, Anfragen an den Router stellen, das Internetkonto für Botnetze benutzen und sich im lokalen Netzwerk frei bewegen.

Ein gefundenes Fressen für Cyberkriminelle: Sollten sich böswillige Hacker im großen Stil in derartig vernetzte Geräte "reinflashen", sei theoretisch vom Klickbetrug über Kryptomining bis zur Datensabotage alles machbar, solange die überschaubare Rechenkraft der Mini-Prozessoren mitspiele, führte der Experte aus. "Die einfachsten Verbrauchsgegenstände werden zur Gefahr", skizzierte Steigerwald das befürchtete IoT-Sicherheitsdebakel. Das einzig Positive dabei sei, dass sich mit der Übernahme die Hersteller-Cloud doch abschalten lasse. Über einen offenen Port könne man bei einem lokalen Firmware-Betrieb die Geräte trotzdem weiter selbst steuern. (bme)