Kritische Sicherheitslücke: Angreifer könnten Millionen IoT-Geräte belauschen

Sicherheitsforscher warnen vor einer Schwachstelle, die etwa Millionen Babyphones und IP-Kameras gefährdet. Geräte lassen sich nicht ohne Weiteres schützen.

In Pocket speichern vorlesen Druckansicht 12 Kommentare lesen

(Bild: Outflow_Designs / Shutterstock.com)

Lesezeit: 3 Min.
Inhaltsverzeichnis

Angreifer könnten direkt über das Internet die volle Kontrolle über Millionen IoT-Geräte erlangen. Ansatzpunkt ist eine kritische Sicherheitslücke in einem Software Development Kit (SDK), das unter anderem auf unzähligen Babyphones, digitalen Videorekordern und IP-Kameras zum Einsatz kommt. Nach erfolgreichen Attacken könnten Angreifer beispielsweise Videostreams belauschen. Die Sicherheitslücke (CVE-2021-28372) ist mit dem Bedrohungsgrad "kritisch" eingestuft.

Konkret betroffen ist Kalay P2P SDK des Softwareherstellers ThroughTek, das IoT-Geräte über das Kalay-Netzwerk online erreichbar macht. Es gibt zwar eine abgesicherte Version des SDK, da es aber auf zahllosen IoT-Geräten von vielen verschiedenen Herstellern zum Einsatz kommt, ist das Patchen nicht ohne Weiteres möglich. Wie viele Geräte insgesamt betroffen sind, ist derzeit unklar. Die Entdecker der Lücke von Mandiant schreiben in einem Bericht, dass das SDK auf 83 Millionen aktiven IoT-Geräten zum Einsatz kommt. Monatlich soll es über 1 Milliarde Verbindungen zum Kalay-Netzwerk geben.

Die Hersteller sollten ab sofort mit dem reparierten SDK 3.3.1.0 oder 3.4.2.0 arbeiten. Außerdem sollten sie die Datenübertragung via DTLS schützen und die Authentifizierung via AuthKey stärken.

Besonders wichtig ist, dass die Hersteller Sicherheitsupdates bereitstellen, damit Besitzer von betroffenen Geräten diese aktualisieren und somit absichern können. Aufgrund der Fragmentierung ist aber davon auszugehen, dass das nur sehr zäh oder überhaupt nicht vonstattengeht. Diese Update-Problematik ist die größte Baustelle von IoT-Geräten.

Für eine erfolgreiche Attacke müssen Angreifer den Entdeckern der Lücken zufolge tiefgehende Kenntnisse über das Kalay-Protokoll haben und darüber Nachrichten an verwundbare Geräte schicken zu können. Außerdem müsste er UIDs von Geräten kennen. Das soll aber über Brute-Force-Attacken nicht möglich sein. Angreifer könnten etwa via Social Engineering an UIDs kommen, führen die Sicherheitsforscher aus.

Ist ein Angreifer im Besitz einer UID, kann er ein im Kalay-Netzwerk registriertes Gerät überschreiben. Folglich landen alle vom Gerät gesendeten Daten wie Videostreams beim Angreifer. In dieser Position könnte er auch Log-in-Daten mitschneiden. Damit könnte er sich auf IoT-Geräten einloggen und diese vollständig kompromittieren.

Wer IoT-Geräte besitzt, sollte stets sicherstellen, dass das Gerät auf dem aktuellen Stand ist. Außerdem sollte man Systeme nur über das Internet erreichbar machen, wenn es wirklich nicht anders geht. Wenn das unvermeidbar ist, sollte starke Passwörter zum Einsatz kommen. Auch eine verschlüsselte VPN-Verbindung und die Verbindung nur für ausgewählte Nutzer zuzulassen, bringt mehr Sicherheit. Zusätzlich bietet es sich an, IoT-Geräte durch Firewalls abzuschotten.

(des)