Zuerst blinkt's, dann geht nichts mehr

Ikea behebt zwei alte Schwachstellen im Trådfri-Beleuchtungssystem - teilweise

Uhr
von Coen Kaat und lha

Ikea hat zwei Schwachstellen in seinem Trådfri-Beleuchtungssystem behoben - zumindest teilweise. Nutzt ein Angreifer die Sicherheitslücken aus, kann er dafür sorgen, dass sich die Lampen nicht mehr bedienen lassen.

Eine Trådfri-Leuchte mit Fernbedienung. (Source: Ikea)
Eine Trådfri-Leuchte mit Fernbedienung. (Source: Ikea)

Sicherheitsforschende von Synopsys haben über zwei Schwachstellen in den Trådfri-Leuchtmitteln von Ikea informiert. Die kalifornische Cybersecurity-Firma hatte die beiden zusammenhängenden Probleme bereits im Juni 2021 entdeckt und Ikea informiert. Das schwedische Möbelhaus behob die Lücken auch schon zwischen Februar und Juni dieses Jahres - zumindest teilweise. Publik gemacht haben die Unternehmen die Lücke jedoch erst jetzt.

Ein Angreifer könnte die Schwachstellen jeweils durch einen fehlerhaften Zigbee-Frame (IEEE 802.15.4) ausnutzen. Der fehlerhafte Frame ist eine nicht authentifizierte Broadcast-Nachricht, wie Synopsys erklärt. Das heisse, dass alle anfälligen Geräte in Funkreichweite betroffen seien.

Leuchtmittel und Gateway betroffen

Bei der ersten Schwachstelle (CVE-2022-39064) lässt das Frame die Leuchtmittel blinken. Ausserdem kann das Frame bei wiederholter Eingabe die Leuchtmittel auch auf Werkseinstellungen zurücksetzen.

Nach dem Angriff leuchten sämtliche Leuchtmittel mit voller Helligkeit. Nutzer und Nutzerinnen können sie anschliessend weder mit der Ikea-Home-Smart-App noch mit der Trådfri-Fernbedienung ansteuern.

Die zweite Schwachstelle (CVE-2022-39065) funktioniert sehr ähnlich. Auch hier steht am Anfang wieder ein fehlerhafter Zigbee-Frame. Dieser führt dazu, dass das Trådfri-Gateway nicht mehr reagiert. Infolgedessen können Nutzerinnen und Nutzer die angeschlossenen Leuchtmittel nicht mehr über die Ikea-Home-Smart-App oder die Trådfri-Fernbedienung einstellen.

Problem teilweise gelöst

Ein Upgrade der Gateway-Software auf die Version 1.19.26 oder höher behebt dieses Problem. Die erste Sicherheitslücke ist bislang nur teilweise gestopft. In der Version V-2.3.091 seien die Probleme mit einen fehlerhaften Frames gelöst - aber nicht mit allen bekannten problematischen Frames.

Für Ikea war dies nicht das einzige Cyberproblem in 2021. Ende des vergangenen Jahres hatte das Unternehmen mit einer Cyberattacke zu kämpfen. Lesen Sie hier mehr dazu.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.

Webcode
DPF8_270546