Wenn die Lampe zum Trojaner wird

Wo führt das hin, wenn Alltagsgegenstände smart und damit angreifbar werden? Der Sicherheitsforscher Michael Steigerwald zeigt, was mit einem smarten Leuchtmittel alles möglich ist.

Glühbirnen sind für den Sicherheitsforscher Michael Steigerwald ein einfacher Gebrauchsgegenstand, ähnlich wie Klopapier. Wenn diese Alltagsgegenstände smart würden, bringe das jede Menge Gefahren für den eigenen Haushalt mit sich. Das Sicherheitslevel dieser Geräte sei minimal. Steigerwald, der sich seit Jahren mit dem Thema Smart Home beschäftigt, zeigt, wie ein Nachbar das Wi-Fi-Passwort aus einem Leuchtmittel im Garten auslesen kann oder wie sich mit einem heimlichen Firmware-Update im lokalen Netzwerk schnüffeln lässt. Eine Anleitung und die verwendete Software hat er nun auf Github veröffentlicht.

Das analysierte Leuchtmittel stammt laut Steigerwald aus dem Repertoire des chinesischen Herstellers Tuya, der IoT-Module mit Cloud-Anbindung vertreibt. Der Anbieter ermöglicht Hardwareherstellern, binnen kürzester Zeit zum Smart-Home-Anbieter zu werden. Diesen werden entsprechende Steuerungen sowie eine App angeboten, deren Design von den Hardwareherstellern angepasst werden kann. Über 11.000 Geräte von mehr als 10.000 Herstellern aus 200 Ländern verwendeten die IoT-Module bereits, wirbt das chinesische Unternehmen.

Wi-Fi-Passwort auslesen oder Lampe übernehmen
Steigerwald kaufte sich mehrere Leuchtmittel mit einer Platine des chinesischen IoT-Anbieters. Er registrierte sie über die App in dessen Cloud und konnte sie per App wie gewünscht an- und ausknipsen. Anschließend schraubte er eine Birne auf und las den Flashspeicher nach etwas Lötarbeit mit dem Esptool aus. In dem etwa 1 MByte großen Speicher fand er die unverschlüsselten Zugangsdaten zu seinem Wi-Fi. „Ich kenne Leute, die benutzen solche Glühbirnen in ihrem Garten zuhause, da kann der Nachbar einfach mal die Glühbirne holen und weiß danach die WLAN-Passwörter“, kommentierte Steigerwald auf dem 35 Chaos Communication Congress. Der Hersteller werbe mit „Military Grade Security“, mit militärtauglicher Sicherheit.

Aus dem Speicher konnte er auch mehrere Verschlüsselungskeys sowie die Serien- und Produktnummer des Leuchtmittels auslesen. Er änderte die Produktnummer und flashte die Firmware zurück. Nun konnte er auf die Birne von einem anderen Cloud-Account des chinesischen IoT-Anbieters zugreifen, inklusive sensibler Daten wie Standort, E-Mailadresse und zum Teil sogar der Telefonnummer des Nutzers. Zudem werden die Ein- und Ausschaltvorgänge für sieben Tage erfasst, auf Anfrage beim Hersteller sind jedoch auch längere Zeiträume möglich, zitierte Steigerwald aus der Software. Doch neben den unverschlüsselten Daten, lässt sich auch die Firmware des Leuchtmittels – vom Nutzer unbemerkt – austauschen.

Lampen-Firmware heimlich austauschen

Im nächsten Schritt schnitt Steigerwald die Kommunikation zwischen dem Leuchtmittel und der Cloud mit dem Tool Wireshark mit. Neben meist unverschlüsseltem HTTP- und DNS-Traffic konnte er auch verschlüsselte Kommunikation mittels dem unter IoT-Geräten üblichen MQTT-Protokoll (Message Queuing Telemetry Transport) feststellen. Letzteres ermöglicht die Steuerung von IoT-Geräten in privaten Netzwerken, erklärte Steigerwald. In einem 60-zeiligen Skript fand er die komplette Kryptographie inklusive der verwendeten 128-Bit-AES-Schlüssel. So konnte er auf die Keys der MQTT-Verschlüsselung zugreifen. Signiert werden die Daten mit dem unsicheren MD5-Hash, der für Kollisionen anfällig ist.

Neben der Analyse konnte er die smarte Lampe auch praktisch angreifen und mittels des Update-Mechanismus eine angepasste Firmware aufspielen. Ein Firmware-Update wird durch mehrere Trigger-Kommandos eingeleitet. Diese konnte er nachvollziehen und auf seinen MQTT- und HTTP-Server umbiegen. Die chinesische Cloud-Plattform bietet ein „Silent Upgrade“ an, der Nutzer muss ein Update weder bestätigen noch bekommt er etwas davon mit.

In seiner Präsentation demonstrierte Steigerwald, wie er die Firmware der Lampe gegen einen eigene, angepasste Firmware austauschte. Auf diese Weise lässt sich auch ein Trojaner auf das Leuchtmittel aufspielen, der beispielsweise die Zugangsdaten des Wi-Fis ausleitet. Der Leuchtmittel-Nutzer bekommt davon nichts mit, die Lampe lässt sich weiterhin ganz normal ein- und ausschalten. Mit der Schadsoftware kann Steigerwald einen Reverse-Tunnel aufbauen, über welchen er sich anschließend in das lokale Netz des Leuchtmittel-Nutzers einwählen und die dortige Infrastruktur angreifen oder von dort auf das Internet zugreifen kann.

Neben dem Flashen über die MITM-Attacke lasse sich die Firmware auch direkt auf der Hardware „mit Löten“ aufspielen. Auch könne der Cloud-Provider die Firmware jederzeit unbemerkt austauschen. „Gestern war es noch eine sichere Lampe und morgen ist es ein Trojaner. Der Nutzer selbst bekommt das einfach überhaupt nicht mit“, sagte Steigerwald. Die einfachsten Gebrauchsgegenstände würden so zur Gefahr.

Source: Moritz Tremmel

Geschrieben von Learning Evolution.com

The basis of my professional, polyvalent career is mainly characterized by the following qualifications: - 20 years of experience in Sales & Marketing - 20 years of experience in the field of ICT and in particular, Learning Development, Knowledge Management (KM), Enterprise Content Management (ECM), Customer Relationship Management (CRM) and Search Engine Optimization (SEO) - 20 years of experience in the field of human Resources Management (5 - 25 persons - recruitment, leading, training and motivation of employees) - 20 years of experience as a Project Manager in the field of ICT, chemical and industrial plant design and architecture. - 10 years of experience in 2D / 3D CAD planning - 10 years of experience in the field of Biological and Energy-Efficient Construction - 5 years of experience as a Member of the Board of two companies, with whom I've worked

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden /  Ändern )

Google Foto

Du kommentierst mit Deinem Google-Konto. Abmelden /  Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden /  Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden /  Ändern )

Verbinde mit %s