Wenn der Bösewicht den TV hackt
Smarte Entertainment-Geräte offenbaren zahlreiche Sicherheitslücken. Ein Experte von Kaspersky schlägt nun Alarm und gibt Tipps, wie sich Anwender schützen können.
In seinem Test stiess Kasperskys Sicherheitsexperte David Jacoby nach eigenen Angaben auf zahlreiche Sicherheitslücken. Neben Schwachstellen in der Software und fehlenden Sicherheitsvorkehrungen bereiteten unsichere Passwörter und der unverschlüsselte Datenaustausch Probleme, wie Kaspersky mitteilt.
Jacoby untersuchte zwei NAS-Speicher verschiedener Hersteller, ein Smart-TV-Gerät, einen Satelliten-Receiver, einen Router und einen internetfähigen Drucker.
NAS-Speicher gibt Passwort preis
Die gefährlichsten Sicherheitslücken fand der Sicherheitsexperte bei den NAS-Speichern, die insgesamt 14 Sicherheitslücken aufwiesen. Angreifer könnten etwa aus der Ferne auf die NAS-Speicher zugreifen und eigenen Code mit Administratorenrechten ausführen. Zudem seien die voreingestellten Administratorpasswörter der Geräte nicht sicher gewesen, die Rechte von Konfigurationsdateien falsch eingestellt und Passwörter im Klartext gespeichert worden.
Das voreingestellte Administratorpasswort eines Geräts soll etwa nur eine einzige Ziffer enthalten haben, für den Experten zu wenig. Bei einem anderen Modell habe der Kaspersky-Ingenieur über das Netzwerk auf die komplette Konfigurationsdatei mit den verschlüsselten Passwörtern zugreifen können.
Jacoby sei es zudem gelungen, durch Ausnutzung einer anderen Software-Schwachstelle, eigene Dateien in einen Speicherbereich zu laden, der normalerweise für die Anwender nicht zugänglich sein sollte. Handelt es sich um entsprechende Schadsoftware, könnte ein manipuliertes Gerät auch weitere infizieren, die sich mit dem NAS verbinden, etwa den heimischen PC, warnt Kaspersky.
Ein infizierter NAS-Speicher wäre auch für sogenannte DDoS-Attacken eines Botnetzes nutzbar. Dabei werden auf einmal zahlreiche Anfragen an einen Server gesandt. Dieser kann dann unter der Last der Anfragen in die Knie gehen und keine anderen Arbeiten verrichten. Ein derart angegriffener Webshop könnte etwa keine Bestellungen mehr annehmen. Da die Malware in einem normalerweise nicht zugänglichen Speicherbereich liegen würde, könnte sie nur über dieselbe Schwachstelle wieder entfernt werden. Den durchschnittlichen Heimanwender dürfte dies überfordern.
Wenn der Bösewicht den TV hackt
Bei der Analyse seines Smart-TVs konnte der Jacoby feststellen, dass dieser unverschlüsselt über das Internet mit den Servern des Geräte-Herstellers kommuniziert. Das öffnet die Tür für potenzielle "Man in the middle"-Attacken. Dabei schaltet sich ein Angreifer zwischen Smart-TV und Hersteller. Nutzen Anwender ihr Gerät etwa für Online-Einkäufe, könnten auf diese Weise Gelder direkt auf das Konto des "Mittelsmanns" transferiert werden.
Als Beweisführung ersetzte Jacoby nach eigenen Angaben ein Icon des Herstellers auf der graphischen Oberfläche seines Smart-TV durch ein eigenes Bild. Weiterhin stellte der Sicherheitsexperte fest, dass sein Smart-TV auch Java-Code ausführen kann. In Kombination mit dem Abfrangen des Datenverkehrs zwischen Fernseher und Internet könnten so Exploit-basierte Attacken durchgeführt werden.
Router hat Spionage-Qualitäten
Der DSL-Router von Jacoby für den drahtlosen Zugang zum Internet hatte zahlreiche, für den Nutzer versteckte Features. Einige davon geben dem Internet Service Provider, also Anbietern wie etwa Swisscom oder Sunrise, Zugriff auf jedes Gerät im Heimnetzwerk. Jacoby fand in der Internetschnittstelle seines Router Funktionen wie "Web Cameras", "Telephony Expert Configure", "Access Control", "WAN-Sensing" und "Update".
Ursprünglich wurden solche Features von den Providern eingebaut, um möglichst einfach technische Probleme auf Anwenderseite lösen zu können. Tatsächlich seien sie aber enorme Sicherheitsrisiken, warnt Kasperky. Die Internetschnittstelle besteht nur aus Webseiten mit alphanumerischen Adressen. Mit Hilfe einer universellen Schwachstelle könnten Angreifer über eine einfache Manipulation der Nummern am Ende der Adresse zwischen den Funktionen hin und her wechseln.
Anwendern sollte klar sein, dass nur starke Passwörter wirklich sicher sind und es immer versteckte unkontrollierbare Features geben kann, meint Jacoby. "Bei einem Gerät, das als sicher gilt und dies auch noch in seinem Namen ausdrückt, konnte ich innerhalb von nur 20 Minuten sehr ernste Sicherheitslücken entdecken. Welche Risiken würde da wohl erst eine gross angelegte Untersuchung zu Tage bringen", fragt sich der Experte.
Ein weiteres Problem sei die Lebensdauer der Geräte. Aus Gesprächen mit Herstellern will Jacoby erfahren haben, dass einige von ihnen keine Sicherheitsupdates mehr zur Verfügung stellen würden, sobald eine neue Gerätegeneration auf den Markt komme. Bei NAS-Speichern sei ist das etwa alle ein oder zwei Jahre der Fall, die Speicher werden allerdings länger genutzt.
Security-Tipps für internetfähige Geräte
Kasperskys Experte gab erste Tipps für Nutzer, wie sie Schäden vermeiden können:
- Anwender sollten ihre Geräte immer mit den neuesten Sicherheits- und Firmware-Updates bespielen.
- Voreingestellte Benutzernamen und Passwörter des Herstellers sollten umgehend durch sichere Kennwörter ersetzt werden.
- Es sollten alle Möglichkeiten genutzt werden, den Netzwerk-Zugriff auf Geräte einzuschränken. So benötigt etwa ein Drucker keinen Zugriff auf ein TV-Gerät. Möglich sei das über unterschiedliche Netzwerksegmente oder durch den Aufbau eines virtuellen LANs, mit dessen Hilfe das physikalische Netz getrennt werden könne.
Update: Fast 34 Millionen Roblox-Zugangsdaten landen im Darknet
Hamster entrinnt dem Regenbogen-Labyrinth
Protonmail lanciert Dark Web Monitoring
PPDS bringt Disneyplus+, Netflix und Co. ins Hotelzimmer
Microsoft muss KI-Modell Wizard LM 2 zurückziehen
TD Synnex listet Apple-Geräteverwaltungslösungen von Jamf
Die Stimmen zu den Best of Swiss Web Awards 2024
IBM übernimmt Hashicorp
BBV Software Services hat einen neuen COO
