Cognosec findet kritische Lücken in IoT-Standard ZigBee

Cognosec, IT-Sicherheitsdienstleister mit Hauptsitz in Wien, hat kritische Schwachstellen in ZigBee entdeckt, einem weit verbreiteten funkbasierenden Kommunikationsstandard für das Internet of Things (IoT) bzw. Smart Home. Bei einer Präsentation im Rahmen der IT-Sicherheitskonferenz Black Hat USA in Las Vegas wurden die größten Sicherheitsrisiken in ZigBee-Implementierungen, die betroffenen Geräte sowie die praktische Ausnutzung der Schwachstellen präsentiert. [...]

Der ZigBee-Standard wird heutzutage am häufigsten bei Anwendungen für „Smart Homes“ eingesetzt. So können etwa Türschlösser per App entriegelt oder auch das Haus mittels Handy überwacht werden. Ursprünglich wurde der Standard jedoch mit dem Ziel entwickelt eine energiesparende, funkbasierende Kommunikation zwischen IoT-Geräten zu ermöglichen. Namhafte Hersteller wie unter anderem Samsung, Philips, Motorola, Texas Instruments und noch viele mehr verwenden ihn.

Niedrige Stückkosten, Interoperabilitäts- und Kompatibilitätsanforderungen sowie der Einsatz von veralteten Sicherheitskonzepten führen hier zu einem Fortbestehen von bekannten Sicherheitsrisiken. Oliver Eckel, Geschäftsführer von Cognosec, warnt: „Das Sicherheitsrisiko auf dieser neuen Ebene der drahtlosen Kommunikation muss leider als sehr hoch eingestuft werden.“

STANDARDISIERTE SCHLÜSSEL

Bei der Durchführung einer Vielzahl an Sicherheitsüberprüfungen, von am Markt erhältlichen Produkten, konnten die Experten von Cognosec die im ZigBee-Standard entdeckten Schwachstellen verifizieren und erfolgreich ausnutzen. Es war den Security-Forschen sogar möglich, verschiedene ZigBee-Netzwerke zu kompromittieren und die Steuerung aller verbundenen Geräte zu übernehmen.

Scheinbar standen bei der Entwicklung dieser Produkte einfache Benutzbarkeit und hohe Kompatibilität im Vordergrund, während die Sicherheit vernachlässigt wurde. Cognosec zufolge mangelt es an entsprechenden Konfigurationsmöglichkeiten und das Standardsicherheitslevel ist unzureichend. So verwenden alle untersuchten Geräte eine verwundbare initiale Schlüsselaustauschprozedur bei der der Netzwerkschlüssel mit einem bekannten, öffentlich zugänglichen Standardschlüssel geschützt wird. Somit kann jeder Angreifer, der diesen initialen Austausch belauscht, den transportierten Schlüssel extrahieren und für bösartige Anwendungen einsetzen. Dadurch kann der gesamte Netzwerkverkehr entschlüsselt und eigene Kommandos ins Netzwerk eingespielt werden. Der unzureichende Schutz dieses Schlüsseltransports stellt eine kritische Sicherheitsschwachstelle dar, da die Sicherheit in ZigBee Netzwerken nur auf der Geheimhaltung dieses Schlüssels basiert.

Zwar passiert dieser anfängliche Schlüsselaustausch nur in einem kleinen Zeitfenster, wenn der Nutzer ihn beispielsweise für das Hinzufügen eines neuen Gerätes anstößt. Kriminelle könnten jedoch quasi den Benutzer hacken: Nämlich indem sie das Netzwerk mit eigenen Signalen stören, und dem User so vorgaukeln, dass sein Gerät Verbindungsprobleme hat. Die normale Reaktion darauf ist ein neuerliches pairen des betroffenen Gerätes, woraufhin der Hacker die Gelegenheit erhält, den Netzwerkverkehr und somit den Schlüssel aufzuzeichnen.


Mehr Artikel

News

Bad Bots werden immer menschenähnlicher

Bei Bad Bots handelt es sich um automatisierte Softwareprogramme, die für die Durchführung von Online-Aktivitäten im großen Maßstab entwickelt werden. Bad Bots sind für entsprechend schädliche Online-Aktivitäten konzipiert und können gegen viele verschiedene Ziele eingesetzt werden, darunter Websites, Server, APIs und andere Endpunkte. […]

Frauen berichten vielfach, dass ihre Schmerzen manchmal jahrelang nicht ernst genommen oder belächelt wurden. Künftig sollen Schmerzen gendersensibel in 3D visualisiert werden (c) mit KI generiert/DALL-E
News

Schmerzforschung und Gendermedizin

Im Projekt „Embodied Perceptions“ unter Leitung des AIT Center for Technology Experience wird das Thema Schmerzen ganzheitlich und gendersensibel betrachtet: Das Projektteam forscht zu Möglichkeiten, subjektives Schmerzempfinden über 3D-Avatare zu visualisieren. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*