Open Source im professionellen Einsatz

Unsicherstes IoT-Device des Jahres

14.10.2016

Sicherheitsexperte findet haarsträubende Sicherheitslücken in einem IoT-Gerät, das leider nur ein Beispiel für verbreitete Versäumnisse ist.

227

Nachdem der IT-Sicherheitsexperte Jonathan Zdziarski vor kurzem Vater geworden war, besorgte er sich eine Art Babyphone (Owlet Baby Care), das über einen Sensor in einer Socke den Herzschlag des Neugeborenen überwacht und die Eltern bei Unregelmäßigkeiten via Smartphone alamiert. Aufgeschreckt durch Passagen in den Lizenzbestimmungen, die jegliche Haftung des Anbieters ausschließen, sollte das Gerät nicht oder nicht bestimmungsgemäß funktionieren, untersuchte Zdziarski das Gerät und fand Haarsträubendes.

So ist zwar die Kommunikation verschlüsselt, die zwischen dem Gerät und dem Server auf Seiten des Anbieters stattfindet, der die Eltern alarmiert, aber die Zwiesprache zwischen Gerät und lokalem WLAN-Router ist nicht nur unverschlüsselt, sondern bedarf nicht einmal einer Authentifikation. Hier kann jedermann umstandslos dazwischenfunken, Signale verfälschen, Alarme unterdrücken, das Gerät dazu bringen, sich mit einem anderen Router zu verbinden, oder fremde Geräte abhören.

Daneben fanden sich ernste Entwurfsfehler. Streift sich das Kind beispielsweise die Socke mit dem Sensor ab, was einen Alarm auslöst, und haben die besorgten Eltern daraufhin dem Kind die Socke wieder angezogen, resettet sich der Sensor nicht automatisch, sondern bleibt in einem inaktiven Zustand, aus dem er nur manuell wieder erweckt werden kann.

Sicherheitsprobleme sind bei zahlreichen IoT-Geräten an der Tagesordung, was erst kürzlich spektakuläre Fälle von Botnetzen bewiesen haben, die ausschließlich aus gekaperten IoT-Geräten bestanden.

Ähnliche Artikel

comments powered by Disqus

Ausgabe 11/2017

Digitale Ausgabe: Preis € 6,40
(inkl. 19% MwSt.)

Stellenmarkt

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.