Smart-Home-Sicherheit

Smartlocks: Schlösser knacken leicht gemacht



Florian Maier beschäftigt sich mit diversen Themen rund um Technologie und Management.
Ungeschützte Passwörter, schlechte Verschlüsselung und Anfälligkeiten für Man-in-the-middle-Attacken sind nur einige Probleme, die die Bluetooth-Schlösser für das Smart Home plagen.

Wer ein Smart Home sein Eigen nennt, weiß: Energieeffizienz und Komfort steigen mit dem Grad der Vernetzung. Dass die Hersteller der Smart-Home-Gerätschaften dabei nicht immer gesteigerten Wert auf IT-Sicherheit legen, haben nun Security-Forscher auf der Hacker-Convention Defcon bewiesen.

Smarte Türschlösser, verheerende Sicherheit

Ben Ramsey und Anthony Rose von Merculite SecuritySecurity haben 16 Smartlocks verschiedener Hersteller unter die Lupe genommen, darunter Produkte von Ceomate, Elecycle, iBlulock, Mesh Motion, Okidokey, Plantraco, Quicklock und Vians. Von 16 Schlössern konnten die beiden Experten zwölf Exemplare knacken beziehungsweise hacken. In einigen Fällen war dazu nicht einmal besonderer Aufwand nötig. Die Ergebnisse der Forschungsarbeit wurden online veröffentlicht. Alles zu Security auf CIO.de

Die gravierendste Entdeckung der Spezialisten: vier Smartlocks tauschten Passwörter ohne Verschlüsselung mit der korrespondierenden Smartphone-App aus. Hier von einem "No-Go" zu sprechen, wäre fast schon eine Untertreibung. Jedenfalls konnten die beiden Security-Fachmänner so die Smartlock-Passwörter ganz einfach mit einem Open-Source-Bluetooth-Sniffer abgreifen.

Ein anderes Smartlock-Exemplar nutzte eine proprietäre Verschlüsselung, was per se schon keine allzu gute Idee ist, weil solche Lösungen in der Regel höchstens ansatzweise auf IT-Security-Schwachstellen getestet werden. So auch in diesem Fall: Ramsey und Rose mussten nur ein einziges Byte im Verschlüsselungscode verändern. Die Folge war ein Gerätefehler, der dafür sorgte, dass das Schloss seinen Dienst freiwillig quittierte. Doch nicht nur die Haustüren von Smart Homes sind in Gefahr: Die Forscher testeten auch ein Smartlock für Fahrräder und konnten dieses mit Hilfe einer Man-in-the-middle-Attacke öffnen.

"Wir wissen, dass das ein Problem ist, aber wir werden es nicht beheben"

Eigentlich sollte man ja meinen, dass sich die Hersteller von Smartlocks der elementaren Bedeutung von IT-Sicherheit bei ihren Devices bewusst sind. Aber weit gefehlt! Denn Ramsey und Rose kontaktierten alle Hersteller der Smart-Home-Devices, die sie knacken konnten. Eine Rückmeldung bekamen die beiden nur von einem Unternehmen. Dessen Antwort wird von dem Blog Tom’s Guide, wo die Forschungsarbeit erstmals bekannt gemacht wurde, folgendermaßen zitiert: "Wir wissen, dass das ein Problem ist, aber wir werden es nicht beheben".

Das könnte sich demnächst ändern, denn die beiden Security-Experten haben angekündigt, die Hacking-Tools, die sie für ihre Arbeit verwendet haben, der Öffentlichkeit zur Verfügung zu stellen. So könnte künftig jeder präpubertäre Teenie mit zuviel Freizeit und 100 Dollar Taschengeld zum meisterhaften Bluetooth-Hacker mutieren. Eventuell sorgt das ja für ein Umdenken bei den Smartlock-Herstellern.

So bleibt erst einmal nur die Erkenntnis: Das Smart Home bringt uns zwar einen Schritt näher an die Sci-Fi-Hollywood-Zukunft, von der wir schon so lange träumen, dabei sollte man aber die Realität nicht aus dem Blick verlieren. Smart-Home-Devices wie schlaue Türschlösser, mitdenkende Thermostate und intelligente Glühbirnen müssen von Seiten der Hersteller mit grundlegenden IT-Sicherheitsmaßnahmen für die aktuelle Bedrohungslage fit gemacht werden.

Dieser Artikel basiert auf einem Beitrag unserer US-Schwesterpublikation techhive.com.

Zur Startseite