Kühlschränke, Autos, Baby-Kameras
21.06.2017, 14:47 Uhr
Alles ist hackbar
Wie leicht diverse IoT-Geräte heute hackbar sind, haben Penetration-Tester der Zuger Cyber-Security-Spezialistin Infoguard während einer Veranstaltung eindrücklich präsentiert.
Die Zahl der über das Internet der Dinge (Internet of Things; IoT) vernetzten Gerätschaften steigt unaufhörlich. Und damit öffnen sich Hackern täglich neue Türen, um nicht nur auf die IoT-Devices selbst, sondern auch auf die mit diesen verbundenen Systeme Zugriff zu erhalten. Wie schnell Hacker in IoT-Geräten «drin» sein können, haben die beiden Penetration-Tester Luca Cappiello und Maurice Popp vom Zuger IT-Security-Spezialisten Infoguard während des Firmenevents «InfoGuard Security Lounge» anschaulich aufzeigen können.
Zunächst nahmen sie sich einen smarten Kühlschrank eines Schweizer Start-Ups (Firma der Redaktion bekannt) vor. Bei diesem für Büroumgebungen konzipierten Gerät kann mit einem Badge die Türe geöffnet und die entnommene Ware gescannt werden, worauf die hinterlegte Kreditkarte belastet wird. Bei dem Device gelang es den Penetration-Testern, die Kommunikation ins Backend abzufangen und schlussendlich die Identifikationsnummern (UID) der Badge-Benutzer auszulesen. Mit dieser Information und der entsprechenden Hardware liessen sich die RFID-Signale des fremden Benutzers erzeugen und auf dessen Kosten auf Einkaufstour gehen. Doch damit gaben sich die Infoguard-Whitehats nicht zufrieden: Sie erprobten, ob die UID der Kühlschrank-Badges auch zum Öffnen der hauseigenen Bürotüren verwendet werden könnten, wenn für den Kühlschrank die selbe UID wie für die Bürotüren verwendet wird. Und tatsächlich: Es ging. Damit konnten die Penetration-Tester den Beweis liefern, dass das Hacken eines Systems oft auch den Zugriff auf weitere Infrastruktur zulässt. Nächste Seite: BMW im Nu geöffnet
Laut Luca Cappiello hat aber der Kühlschrank-Hersteller sehr schnell auf die Meldung der Pentester reagiert und die Lücke umgehend behoben. «Der Hersteller hat sich hier vorbildlich verhalten», meinte er.
Laut Luca Cappiello hat aber der Kühlschrank-Hersteller sehr schnell auf die Meldung der Pentester reagiert und die Lücke umgehend behoben. «Der Hersteller hat sich hier vorbildlich verhalten», meinte er.
BMW im Nu geöffnet
Das Öffnen von Türen hatte es den Penetration-Testern offenbar angetan. Denn als nächstes Ziel versuchten sie bei einem aktuellen BMW-Modell die Wagentüre zu knacken. Dies sei recht trivial gewesen, meinten die beiden.
Sie verwendeten hierfür keine sogenannte Relay-Attacke, bei der das Signal des Wagenöffners umgeleitet wird, sondern sie zeichneten den Öffnungsprozess des Schlüssels mittels Social Engineering auf und konnten das Signal mit einem SDR-Device (HackRF) wiedergeben, bevor der Besitzer des Autos das Signal für das Öffnen des Autos benutzte. Nächste Seite: Fremde Babys auf dem Smartphone
Sie verwendeten hierfür keine sogenannte Relay-Attacke, bei der das Signal des Wagenöffners umgeleitet wird, sondern sie zeichneten den Öffnungsprozess des Schlüssels mittels Social Engineering auf und konnten das Signal mit einem SDR-Device (HackRF) wiedergeben, bevor der Besitzer des Autos das Signal für das Öffnen des Autos benutzte. Nächste Seite: Fremde Babys auf dem Smartphone
Fremde Babys auf dem Smartphone
Als letzte Herausforderung wollten die Penetration-Tester via IoT tief in die Privatsphäre von Anwendern vordringen, indem sie ein Babymonitoring-System etwas genauer unter die Lupe nahmen. Die Wahl fiel auf ein Modell eines bekannten Herstellers für Babyzubehör (Name der Redaktion bekannt). Diese Kamera fungiert auch als Nachtlämpchen und als Gegensprechanlage. Zudem fiel den Testern die 3G-Funktion ins Auge. Über eine App für iOS und Android lässt sich mit dem «Kinderzimmerspion» kommunizieren. Die Infoguard-Leute witterten hier einen weiteren Einfallsvektor: zu recht, wie sich herausstellen sollte. Doch zunächst fanden die Tester diverse Sicherheitslücken, die schon vor einiger Zeit von Forschern der Fachhochschule Aachen entdeckt worden waren, und offensichtlich immer noch Fortbestand hatten. Um mit der App direkt auf die Kamera zuzugreifen, kontaktiert diese einen Master-Server. Die Infoguard-Whitehats staunten nicht schlecht, als sie feststellen mussten, dass dieser Server kaum geschützt ist. Immerhin wird über diesen mit Hilfe der UIDs abgeklärt, ob die Kamera gerade online ist und wenn ja, mit welcher IP-Adresse. Cappiello und Popp gelang dadurch ein nach eigenen Angaben «simpler Angriff». Denn sobald die Kamera meldet, dass sie ausgeschaltet und offline ist, wird sie vom Server abgemeldet. Der Angreifer, der im Besitz der UID ist, kann sich daraufhin dazwischen schalten und erhält das Passwort der Kameras. Mit einem selbst geschriebenen Programm konnten die Pentester sodann herausfinden, welche Kameras gerade online waren, samt IP-Adressen und Standorten. Mit Hilfe der Smartphone-App hätten sie mit diesem Wissen dann diverse Kameras hijacken können. Besonders bedenklich: Wie die Zuger Spezialisten weiter herausfanden, teilen sich weitere Hersteller von IoT-Devices dieselbe Infrastruktur. Somit könnten auch deren Geräte mit der umschriebenen Methode angegriffen werden. Enttäuscht wurden sie von der Reaktion des Herstellers. Dieser reagierte sehr träge auf ihre Erkenntnisse zu den Schwachstellen. Man habe nun Distributoren der Produkte in der Schweiz kontaktiert. Das Fazit der beiden Pentester: IoT-Geräte sind in der Regel mit Vorsicht zu begegnen. Greifen sie auf Cloud-Dienste zu, bewerten die beiden die Situation als kritisch. Hier könnten nämlich Remote-Schwachstellen das Gesamtsystem zusätzlich bedrohen. Von der Verwendung von IoT-Geräten mit undokumentierter Cloud-Anbindung können sie zum jetzigen Zeitpunkt nur abraten.