Die Sicherheitsforscher Eyal Ronen, Colin O’Flynn, Adi Shamir und Achi-Or Weingarten haben sich mal das Zigbee-Protokoll zur Brust genommen und einen IoT-Wurm für Philips Hue-Lampen gebastelt, der eine Kettenreaktion in Gang setzt.

“IoT Goes Nuclear: Creating a ZigBee Chain Reaction” haben die Forscher ihr Paper betitelt und dieses mit einem Bild illustriert, das eine Kettenreaktion zeigt. Nicht zu unrecht, steckt ein Gerät doch das nächste an und springt der Wurm drahtlos von Gerät zu Gerät. Die so manipulierten IoT-Devices, in diesem Fall Hue-Smart-Lampen von Philips, lassen sich dann wahlweise ausschalten, für DDoS-Angriffe missbrauchen, aber auch auf eine für Epileptiker gefährliche Flacker-Frequenz einstellen. Um die Schäden zu reparieren, bleibt nur der manuelle Austausch, schreiben die Forscher in der Vorstellung ihrers Papers.

Eine Kettenreaktion setzt allerdings voraus, dass die örtliche Verteilung der Lampen eine bestimmte kritische Dichte erreicht. Bei einer Stadt in der Größe von Paris (105 Quadratkilometer), errechneten die Forscher, lasse sich so eine Kettenreaktion in Gang setzen, wenn die Zahl der IoT-Geräte 15 000 überschreitet.

Zugleich mussten sie bei den Angriffen zwei wesentliche Barrieren überwinden. Dazu gehörte, die Lampen aus ihren Netzwerken zu entfernen und drahtlose Firmware-Updates ermöglichen. Das erste Problem lösten sie dank eines Bugs im Proximity-Test des Atmel-Stack, einer Software also, die nach Geräten in der Nähe sucht. Dank des Bugs kann ein billiger Zigbee-Transmitter Lampen im Umkreis von 400 Metern per Factory Reset aus ihrem Netz werfen und die volle Kontrolle über diese erlangen.

Die Firmware-Updates für die Lampen erfordern jedoch auch eine Authentifizierung und Verschlüsselung, wobei aber alle Lampen denselben globalen Schlüssel verwenden. Mit recht günstigem Equipment und einer neuen Side-Channel-Attacke gelang es den Forschern, auch die durchaus gängige AES-CCM-Verschlüsselung auszuhebeln und den globalen Key zu extrahieren.

Um ihre Theorien auch in der Praxis zu überprüfen, implementierten die Forscher ihre Algorithmen in echter Hardware und ließen sie auf zuvor installierte Hue-Lampen los. Im ersten Fall übernahmen die Forscher aus einem Auto heraus erfolgreich Hue-Lampen in ihrer Fakultät. Im zweiten Fall kaperten sie per Drohne fünf zuvor selbst installierte Philips-Lampen in einem Bürogebäude und ließen diese einen SOS-Morsecode blinken, so lange die Drohne vor dem Gebäude schwebte.

Im Juli informierten die Forscher Philips schließlich über die Sicherheitslücken, das Unternehmen hat diese im Oktober repariert. Auch wenn das Szenario bereits alarmierend sei, schreiben die Forscher, sei es doch nur ein kleines Beispiel für die Probleme, die schlecht gesicherte IoT-Geräte mit sich bringen. Das komplette Vorgehen lässt sich detailliert in einem Paper nachlesen.