Sicherheitslücke: Hintertür im Smart Home von Loxone

Durch die Vergabe von Standard-Passwörtern und Schwächen im firmeneigenen DDNS-Dienst waren Smart-Home-Systeme von Loxone über das Internet angreifbar. Auf Hinweis von c't dämmte der Hersteller das Problem stark ein; ein Restrisiko besteht aber weiterhin.

In Pocket speichern vorlesen Druckansicht 219 Kommentare lesen
Sicherheitslücke im Smart-Home-System von Loxone

(Bild: Loxone)

Lesezeit: 4 Min.
Von
  • Nico Jurran
Inhaltsverzeichnis

Smart-Home-Systeme des österreichischen Herstellers Loxone Electronics waren durch eine Sicherheitslücke leicht angreifbar. Dies berichtet c't in seiner kommenden Ausgabe 19/16, die am kommenden Freitag erscheint. Missbrauchspotenzial ergab sich demnach aus der Kombination aus einem Standard-Login (Benutzer: admin, Passwort: admin) und Schwächen im firmeneigenen DDNS-Dienst.

Besonders heikel ist die Sicherheitslücke, weil die Loxone-Anlagen nicht nur Sensoren und Aktoren aus den Bereichen Beleuchtung, Energie, Heizung und Kühlung, Rolladen und Audiosystemen ansteuern, sondern auch sicherheitskritische Komponenten wie Alarmanlagen, IP-Kameras und Zugangssysteme für Türen und Garagentore. Einem potenziellen Angreifer könnte es dadurch möglich sein, über angeschlossene IP-Kameras zu überprüfen, ob sich im Haus Personen befinden – und danach über das Web-Interface beispielsweise das Garagentor für einen gezielten Einbruch öffnen.

Die Vergabe eines Standard-Logins war deshalb so problematisch, weil Nutzer nur Warnungen erhalten, wenn sie den ausgelieferten Smart-Home-Heimserver mit dem Internet verbinden, diese aber auch dann nicht ändern müssen. Mit Scanner können potentielle Angreifer den gesamten IP-Adressbereich systematisch nach den Systemen abgrasen und daraufhin überprüfen, ob man mit dem Standard-Passwort eindringen kann. Loxone hatte jedoch selbst ein Einfallstor geschaffen - mit seinem für Kunden kostenlosen "Loxone Cloud DNS"-Dienst als Alternative zu (weiterhin nutzbaren) DDNS-Diensten wie No-IP oder DynDNS.

Mit dem Standard-Passwort gesicherte Loxone-Anlagen, die über das Internet aufgespürt wurden, kontrollierten unter anderem Alarmanlagen und IP-Kameras.

Auf das Problem aufmerksam gemacht wurde die Redaktion von einem c't-Leser, den stutzig gemacht hatte, dass der Dienst einen einheitlichen Aufruf über Webadresse "http://dns.loxonecloud.com/<MAC-Adresse-des-Miniserves>" nutzt und die Adressen der Server stets gleich beginnen. Zudem fiel ihm auf, dass Loxone den Dienst über eine HTTP-3xx-Weiterleitungen realisiert. Am Ende reichte ein kleines Skript, das nacheinander die Adressen des Loxone-Dienstes mit wechselnden Endungen aufrief und dann jeweils prüfte, ob eine passende Weiterleitung eingerichtet war. Aus der Trefferliste ermittelte der Leser dann über 110 Anlagen in ganz Europa, die per Standard-Passwort zugänglich waren. Ein Teil davon befand sich in Privathäusern (einschließlich Ferienhäuser), andere in Gewerbeobjekten.

Nachdem c't den Hersteller mit diesen Zahlen konfrontierte, ergriff der Smart-Home-Hersteller umgehend Maßnahmen und sperrte den hauseigenen DDNS-Dienst für Heimserver mit unsicheren Zugangsdaten, wodurch die die Zahl der Heimserver mit Standard-Passwort tatsächlich drastisch abnahm. Zusätzlich lieferte er eine Meldung über die Loxone-App aus, die noch einmal über die Gefahren eines unsicheren Logins hinwies.

c't stellte allerdings auch fest, dass sich die Kombination "admin/admin" weiterhin verwenden lässt. Darauf angesprochen, erklärte Loxone, dass es seitens des Unternehmens "nicht möglich und auch nicht gewollt" sei, auf die Installationen unserer Kunden zuzugreifen und hier ein Update oder eine Änderung durchzuführen. "Der Miniserver gehört dem Kunden, inklusive seiner Daten", betonte Loxone. Tausende von Partner hätten interne Installationen – teilweise zu Testzwecken, die nur in deren internem LAN verfügbar sind. "Ein Zwang zu individuellen Zugangsdaten würde hier zu großem Unmut führen und sehen wir nicht als erforderlich", erklärte das Unternehmen.

Es seien fachliche Netzwerk-Kenntnisse erforderlich, um alle Einstellungen an etwaigen Firewalls & Routern vorzunehmen, die den Miniserver nach außen hin zugänglich machen. "Setzt jemand all diese Schritte und verwendet dabei Standard-Zugangsdaten, so hat er selber die Verantwortung dafür zu tragen. Um es bildlich auszudrücken: Lässt jemand sein Fahrzeug unversperrt am Parkplatz stehen, so trägt er dafür die Verantwortung selbst. Dies wird auch so bleiben", lautete Loxones Fazit.

Wer als Loxone-Kunde weiß, dass seine Anlage mit dem Internet verbunden ist und noch das Standard-Passwort nutzt beziehungsweise sich diesbezüglich nicht sicher ist (etwa weil das System von einem Dienstleister installiert wurde), sollte umgehend sein Passwort ändern.

Einen ausführlichen Artikel mit weiteren Hintergrund-Informationen finden Sie in der kommenden c't 19/16, die ab Samstag am Kiosk liegt. Abonnenten erhalten die Ausgabe bereits Freitag im Briefkasten. (nij)