CeBIT 2016

Smartwatch & Co.: Einfach zu hacken

Die meisten Nutzer achten auf Sicherheit am PC, dass IoT-Devices ebenfalls Ziel von Angriffen werden können, ist noch nicht im Mainstream angekommen. Trend Micro zeigt Live-Hack-Demo auf der CeBIT.
Von der CeBIT aus Hannover berichtet
AAA
Teilen (19)

Udo Schneider, Security Evangelist bei Trend Micro, geht auf das Gefahrenpotenzial einUdo Schneider, Security Evangelist bei Trend Micro, geht auf das Gefahrenpotenzial ein Smarte Geräte und Wearables finden zunehmend Verbreitung im Alltag: Von der intelligenten Glühbirne über die Smartwatch bis zum Connected-Sextoy - kaum eine Produktkategorie kommt heute noch ohne Vernetzung aus. Der Sicherheitshersteller Trend Micro hat auf der CeBIT 2016 einige Risiken dieses Trends aufgezeigt.

Mit der Gillette-Box soll in nächster Zeit eine Rasur-Basis-Station auf den Markt kommen, die automatisch Klingen nachbestellt, sobald diese ausgegangen sind. Darüber hinaus erreicht der Trend vernetzter Geräte auch die Sexindustrie. Nutzer können schon heute smarte Bluetooth-Dildos kaufen. Per App lassen sich die Vibratoren aus der Ferne von einem Dritten steuern. Diese Funktion ist zunächst auch so vom Hersteller gewollt, schließlich sollen Nutzer die Kontrolle über das Sextoy an einen Bekannten übergeben können. Der Partner kann das Geschehen dann per Live-Cam-Funktion parallel verfolgen und per Chat kommentieren. Wenn sich dann allerdings ein Fremder einklinkt, wird die Vernetzung zur Gefahr.

Schwachstelle Nr. 1: Schlechte Passwörter

Viele Hersteller sichern ihre Geräte laut Trend Micro nur mit einem unsicheren Standard-Passwort ab. Diese Lücke machen sich Angreifer zu Nutze. Die Devices können meist per Bluetooth mit dem Handy oder dem PC gekoppelt werden. Doch nicht nur der Nutzer selbst kann durch die Eingabe des Default-Passwörter auf das Gerät zugreifen. Eine typische Ab-Werk-PIN (0000, 1234 etc.) ist auch von Angreifern schnell eingegeben und führt häufig zum erfolgreichen Login, wie die Live-Demo auf der Micro-Trend-Pressekonferenz zeigte. Wenn man den Quasi-Hack noch etwas tiefgreifender gestalten möchte, kann man in der Entwicklungsumgebung "Pharo" durch die Eingabe einfacher Kommandos wie etwa "toy rotate: 20;" den Vibrator in Bewegung versetzen, ohne dass der Nutzer zunächst davon Kenntnis nimmt, erklärt Udo Schneider, Security Evangelist bei Trend Micro.

Obwohl dieses Szenario zunächst etwas abseitig wirkt, der Angriff würde sich in ähnlicher Form auch auf andere IoT-Devices (IoT, Internet of Things) aus dem Smart-Home-Umfeld (Smarte Glühbirnen, Heizung etc.) übertragen lassen.

Schwachstelle Nr. 2: Smartwatch-Daten

Verschafft sich ein Cyberkrimineller Zugang zu den Daten einer Smartwatch, kann daraus eine Gefahr für die persönlichen Login-Daten ausgehen. So ließen sich die Daten des Beschleunigungssensors etwa dazu nutzen, die Tastatureingabe des Nutzers zu tracken. Dafür würden die Bewegungsmuster des Anwenders analysiert und anschließend von der Software so interpretiert, dass sich daraus die Eingaben auf der Tastatur übersetzen ließen. Während die Eingaben bei der herkömmlichen Tastatur sich nicht immer Eins-zu-Eins aus dem Bewegungsprofil der Smartwatch ermitteln ließen, sei die Erfolgschance bei Eingaben von nummerischen PINs höher.

Schwachstelle Nr. 3: Ungepatchtes Backend

IoT-Vibrator lässt sich aus der Ferne steuernIoT-Vibrator lässt sich aus der Ferne steuern Eine weitere Schwachstelle sei häufig das Backend der IoT-Devices, erklärt Schneider. Die meisten Geräte seien an das Ökosystem des Herstellers angebunden - Daten werden über die jeweilige Plattform synchronisiert. Daraus ergibt sich ein weiteres Einfalltor für Angreifer. Vielfach würden die Backends der IoT-Devices nicht aktuellen Sicherheits­standards entsprechen, da die Hersteller nach dem Release keine aktive Weiter­entwicklung betreiben würden. Tausende sensibler Datensätze seien daher für Angreifer leicht einsehbar. Um eine schnelle Markteinführung der IoT-Geräte zu schaffen, werde eher darauf geachtet, dass sich die Entwicklungszeit für das Backend in Grenzen hält. Stattdessen würden eher Features ausgebaut, die der Kunde wahrnimmt, also etwa die Einbindung sozialer Netzwerke.

Teilen (19)

Mehr zum Thema Sicherheit