Das eigene Wohnzimmer gehackt
So (un)sicher sind Home-Entertainment-Systeme
Zur IFA werden wieder unzählige neue mit dem Internet verbundene Geräte präsentiert. Vor allem mit dem Web verbundene Home-Entertainment-Systeme offenbaren zahlreiche Sicherheitsrisiken. Das ist das Ergebnis eines Selbstversuchs, den der Sicherheitsexperte David Jacoby von Kaspersky Lab mit Hilfe der Ausstattung in seinem eigenen Wohnzimmer durchführte.
David Jacoby, Security Evangelist bei Kaspersky Lab, begutachtete für seinen Selbstversuch zwei NAS-Speicher-Systeme (Network-Attached-Storage) verschiedener Hersteller, ein Smart-TV-Gerät, einen Satelliten-Receiver, einen Router sowie einen internetfähigen Drucker. Allein die Speicher zeigten dabei 14 Sicherheitslücken, eine weitere entfiel auf das Smart-TV-Gerät. Außerdem stieß Jacoby auf zahlreiche versteckte Remote-Control-Möglichkeiten im Router.
NAS-Speicher gibt Passwörter preis
Die gefährlichsten Sicherheitslücken fand der Sicherheitsexperte bei den NAS-Speichern. Potenzielle Angreifer können demnach aus der Ferne das System kompromittieren und eigenen Code mit Administratorenrechten ausführen. Zudem waren die voreingestellten Administratorpasswörter der Geräte nicht sicher, die Rechte vieler Konfigurationsdateien falsch eingestellt und Passwörter wurden im Klartext gespeichert. Das voreingestellte Administratorpasswort eines Geräts enthielt nur eine einzige Ziffer. Bei einem anderen Gerät konnte man über das Netzwerk auf die komplette Konfigurationsdatei mit den verschlüsselten Passwörtern zugreifen.
Jacoby gelang es durch Ausnutzung einer anderen Software-Schwachstelle, eigene Dateien in einen Speicherbereich zu laden, der normalerweise für die Anwender nicht zugänglich ist. Handelt es sich um entsprechende Schadsoftware, könnte ein derart manipuliertes Gerät auch alle weiteren infizieren, die sich mit dem NAS verbinden – zum Beispiel einen Heimanwender-PC. Ein infizierter NAS-Speicher wäre sogar für DDoS-Attacken eines Botnetzes nutzbar. Da die Malware in einem normalerweise nicht zugänglichen Speicherbereich liegen würde, könnte sie nur über dieselbe Schwachstelle wieder entfernt werden – was den durchschnittlichen Heimanwender überfordern dürfte.
Man-in-the-middle im Smart-TV
Bei der Analyse seines Smart-TV konnte der Kaspersky-Experte feststellen, dass dieser unverschlüsselt über das Internet mit den Servern des Geräte-Herstellers kommuniziert. Das öffnet die Tür für potenzielle Man-in-the-middle-Attacken. Dabei schaltet sich ein Angreifer zwischen Smart-TV und Hersteller. Nutzen Anwender ihr Gerät für Online-Einkäufe, könnten damit Gelder direkt auf Konten von Angreifern transferiert werden. Als Beweisführung konnte Jacoby ein Icon des Herstellers auf der graphischen Oberfläche seines Smart-TV durch ein eigenes Bild ersetzen. Weiterhin stellte der Sicherheitsexperte fest, dass sein Smart-TV auch Java-Code ausführen kann. In Kombination mit dem Abfangen des Datenverkehrs zwischen Fernseher und Internet können so Exploit-basierte Attacken durchgeführt werden.
- So (un)sicher sind Home-Entertainment-Systeme
- Router hat Spionage-Qualitäten
Lesen Sie mehr zum Thema
