Smart Homes sind ganz bestimmt supermodern und zeigen, was die Zukunft uns in Sachen Haustechnik bringen wird. Wenn das allerdings heißt, dass die Zukunft von Smart Homes mit großen Sicherheitsproblemen behaftet ist, wäre das jedoch keine schöne Vorstellung. Verbraucher könnten inzwischen erwarten, dass die nicht gerade billige Technologie, mit der diese Smart Homes ausgestattet sind, einigermaßen sicher sei gegenüber Cyberangriffen. Allerdings haben verschiedene Ereignisse in den letzten Monaten leider das Gegenteil bewiesen.

Zuletzt hatten deutsche Sicherheitsforscher sich Zugang zu der Haustechnik eines israelischen Smart Homes verschaffen können und festgestellt, dass sich die gesamte Haustechnik aus der Ferne manipulieren ließ. Ende Juli macht nun auch der deutsche Lampenhersteller Osram Schlagzeilen mit Sicherheitslücken in seinen Beleuchtungssystemen. Es stellt sich also die generelle Frage, welche Art von Sicherheitsprüfungen durchläuft diese Smart Home Technologie eigentlich, bevor sie den Verbrauchern zur Verfügung gestellt wird? Offenbar so gut wie keine – Deral Heiland, Hauptsicherheitsberater der Sicherheitsfirma Rapid7 berichtete, dass seine Experten einige unglaublich dilettantische Sicherheitslücken in den Beleuchtungssystemen Osram Lightify Home und Pro entdeckt hätten.

Osram Lightify Produkte lassen sich beispielsweise über Fernbedienungsschalter wie Lightify Switch oder schaltbare Steckdosen wie Lightify Plug mithilfe einer App steuern. Dabei können Lichtstärke und auch Farbtemperatur der Lampen in diesem System verändert werden. Die Osram Lightfy Geräte verbinden sich über ein Drahtlosnetzwerk über Zig Bee zu einer Gateway Box, die sich dann mit dem privaten WLAN-Netzwerk verbindet. Die Beleuchtungssysteme im Smart House können dann mit Hilfe von bestimmten Android oder iOS Apps bedient werden. Laut Osram liege die Verantwortung, diese Lücken zu schließen jedoch bei anderen Herstellern.

Insgesamt entdeckten die Mitarbeiter von Rapid7 neun Sicherheitslücken. Darunter cross-site scripting (XSS) und auch Verschlüsselungsprobleme bei ZigBee und SSL Protokollen. Es wurde auch festgestellt, dass die iPad-App für Lightify das Netzwerk WLAN-Passwort im Klartextformat (CVE-2016-5051) speichert, direkt neben der SSID. Osram hat diesen Fehler inzwischen behoben. Das WLAN-Passwort wird hier nun verschlüsselt abgespeichert.

Zwei weitere bisher ungepatchte Sicherheitslücken (CVE-2016-5052 und CVE-2016-5057) sind auch noch gefunden worden. Beide haben den Hintergrund, dass Osram kein SSL Pinning verwendet und es wäre daher möglich, dass Unbefugte einen Man-in-the-Middle-Angriff auslösen, um den SSL-verschlüsselten Datenverkehr zwischen der App und der Gateway zu knacken. Laut Osram arbeitet man auch daran, diese Fehler durch eine Patch zu beseitigen obwohl diese Sicherheitslücke an sich von vornherein gar nicht bestehen dürfte. SSL Pinning gehört schon länger zu den gängigen Prüfmethoden in Sachen Sicherheitsstandards. Ob Osram hier die Zeit verschlafen hat, könnte man an dieser Stelle fragen.

Ein anderer Fehler lässt Angreifer JavaScript und HTML-Code in das Benutzernamen-Eingabefeld des Web-Management-Tools des Osram Pro Systems (CVE-2016-5055) injizieren. Noch so ein simpler Fehler, der eigentlich nicht sein dürfte. Er wurde inzwischen aber auch schon von Osram behoben.

Die andere große, noch ungepatchte Sicherheitslücke bei den Osram Systemen (CVE-2016-5054 und CVE-2016-5058) fand sich im Bereich Gerätepaarung. Die vergebenen Authentifizierungsschlüssel aktualisierten sich nicht neu nach dem Paaren der Geräte mit dem System über das ZigBee Protokoll. Auch hierzu versprach Osram ein Update, dass eine jedesmalige Neuvergabe des Authentifizierungsschlüssels auslöst.

Die Osram Systeme Pro und Lightify Home verwenden zudem sehr schwache vorinstallierte Standardverschlüsselungen, sogenannte pre-shard keys. 0123456789abcdef war einer dieser haarsträubenden Schlüssel. Osram versprach, stärkere und längere Schlüssel einzusetzen.

Alles in allem sind die in letzter Zeit entdeckten Sicherheitslücken im Internet of Things und in Smart Homes und nun in den Osram Beleuchtungssystemen ziemlich besorgniserregend. Für einigermaßen versierte Hacker ist es ein Leichtes, Schadware einzuschleusen oder sonstigen Unfug in modernen Heimnetzwerken anzurichten. Da alles miteinander vernetzt ist, bieten solche Schwachstellen unbefugten Zutritt zu privaten Daten und noch viel mehr – Überwachung und Onlinebanking – um hier nur zwei Beispiele zu nennen.

„When your security relies on your lightbulbs you know that worrying about APTs (Anm. Advanced Persistent Threat) and nation state adversaries hackers is a futile exercise.“ Brian Honan

Artikel von theregister.co.uk, 27.07.2016: Osram’s Lightify smart bulbs blow a security fuse – isn’t anything code audited anymore?
Artikel von zdnet.com, 27.07.2016: Serious security flaws found in Osram smart bulbs