Kaspersky-Forscher haben mehrere kritische Schwachstellen in einem Smart Home Controller identifiziert. Dazu gehören Bugs in der Cloud-Infrastruktur sowie eine mögliche Remotecodeausführung, die Dritten einen Superuser-Zugriff auf den Controller ermöglichen würde – die Smart-Home-Infrastruktur könnte damit manipuliert werden. Die Ergebnisse wurden an den Anbieter Fibaro weitergegeben, der die Schwachstellen bereits beseitigt und Updates für Nutzer zur Verfügung gestellt hat.

Beunruhigendes Testresultat
Mit der Zunahme an IOT- (Internet of Things) Geräten entstehen auch neue Bedrohungen. Die Sicherheitsprobleme werden im Praxiseinsatz schnell sichtbar: So beauftragte ein Kaspersky-Mitarbeiter und Smart-Home-Besitzer seine Kollegen aus der Forschungsabteilung, die eingesetzten Systeme zu untersuchen. Hierfür gewährte er ihnen Zugang zum Smart Home Controller, der die Smart-Home-Komponenten miteinander verbindet und überwacht. Das beunruhigende Testresultat: Ein erfolgreicher Angriff würde es Cyberkriminellen ermöglichen, in das gesamte System des Hauses einzudringen. Mögliche Konsequenzen: Spionage, Diebstahl, physische Schäden.

Identifizierung der potenziellen Angriffsvektoren
Die Sicherheitsexperten identifizierten in ihrer Analyse die folgenden potenziellen Angriffsvektoren: das drahtlose Kommunikationsprotokoll Z-Wave, das häufig für die Heimautomatisierung verwendet wird; die Weboberfläche des Administrationspanels und die Cloud-Infrastruktur. Letzteres erwies sich als am effektivsten für Angriffe: Eine Untersuchung der Methoden zur Verarbeitung von Anforderungen vom Gerät ergab eine Sicherheitslücke im Autorisierungsprozess und das Potenzial für die Remotecodeausführung. Zusammen ermöglichen diese Vektoren Dritten den Zugriff auf alle Backups, die von allen Fibaro Home Centern Lite in die Cloud hochgeladen wurden, sowie den Upload infizierter Backups in die Cloud und den Download auf einen bestimmten Controller – und das trotz fehlender Rechte in das System.

Abschließend führten die Kaspersky-Experten einen Testangriff auf den Controller durch. Dazu erstellten sie ein spezielles Backup mit einem separat entwickelten Skript, das mit einem Kennwort geschützt war. Danach schickten sie eine E-Mail und eine SMS-Nachricht über die Cloud an den Nutzer des Geräts und forderten ihn auf, die Firmware des Controllers zu aktualisieren; heruntergeladen wurde jedoch das infizierte Backup. Dadurch erhielten die vermeintlichen Angreifer Superuser-Rechte für den Smart Home Controller und konnten so das verbundene Ökosystem manipulieren. Ihr erfolgreiches Eindringen zeigten die Forscher, indem sie die Melodie des Weckers änderten – der Kollege wachte zu Drum-and-Bass-Musik auf.

Updates für Fibaro-Nutzer
Im realen Leben sei es eher unwahrscheinlich, dass sich ein echter Angreifer mit Zugang zum Heimzentrum auf einen Streich mit dem Wecker beschränkt, so Pavel Cheremushkin, Sicherheitsforscher bei Kaspersky ICS CERT. Eine der Hauptaufgaben des von Kaspersky untersuchten Geräts sei die Integration smarter Dinge, damit der Hauseigentümer alle Komponenten zentral aus seinem Heimzentrum aus verwalten kann. Fibaro-Nutzern wird dringend empfohlen, die Updates zu installieren und immer zu überprüfen, ob die E-Mails mit den Ankündigungen der Fibaro-Website übereinstimmen. Die Updates erhöhen die Funktionalität des Systems und machen es Hackern schwerer, private Daten zu stehlen.