News

Donnerstag, 21.11.2019 15:36

Sicherheitslücke in Ring Türklingeln

Ein ideales Beispiel für Gerätehersteller

Cybersecurity ist in aller Munde. Jeder Gerätehersteller ist sich bewusst, dass er sich früher oder später mit diesem Thema befassen muss.

Oft hören wir jedoch relativierende Argumente: „Wozu eine Kommunikationsstrecke verschlüsseln, wenn doch die übertragenen Daten keinen wirklichen Wert für Angreifer haben?“ Doch fast jedes Gerät kommuniziert Daten, deren Information für einen Lauschangriff relevant sein können. Besitzt das Gerät ein WLAN Interface, so gibt es in der Regel einen Zeitpunkt, an dem das Gerät konfiguriert wird. Zu diesem Zeitpunkt wird der WLAN Schlüssel an das Gerät übertragen, z.B. von einer Smartphoneapplikation oder einem Webbrowser. Oft lässt sich dieser Vorgang sogar nachträglich erzwingen, in dem man die WLAN Kommunikation stört und so den unwissenden Nutzer zu einer Neukonfiguration zwingt (z.B. mit einem "De-Auther“, den man für wenige Euro in Onlineshops erhält). Ziemlich genau so sieht ein von der Firma Bitdefender erarbeiteter Angriffs-Vektor gegen eine Türklingel von der zu Amazon-Tochter "Ring" aus

[https://labs.bitdefender.com/2019/11/ring-video-doorbell-pro-under-the-scope].

Auch Geräte ohne WLAN verfügen oft über interessante Informationen für Dritte. Nicht wenige Anwender verwenden beim Einrichten von Nutzerkonten auf Geräten die gleichen Passwörter, wie für andere deutlich sicherheistrelevantere Dienste,wie beispielsweise den E-Mail Account oder das Paypal Konto. Werden diese Passwörter auf Grund unzureichender Gerätesicherheit mitgelesen, kann der Schaden unangenehme Größenordnungen annehmen.Die o.g. Einrichtungs-Prozeduren finden i.d.R. über lokale Netzwerkkommunikation statt. Dabei scheint zunächst verwunderlich, dass gerade diese Kommunikation gar nicht so einfach zu schützen ist. Zwar nutzen viele Gerätehersteller(im Gegensatz zu „Ring") bereits TLS zur Verschlüsselung. Jedoch birgt TLS im lokalen Einsatz Risiken, die kaum jemandem wirklich bewusst sind. So lassen sich selbst signierte Zertifikate in einem Browser kaum praktikabel prüfen. Hinzu kommt, dass eine eindeutige Identität, wie sie im Internet durch den Domain-Namen besteht, im lokalen Netz fehlt. Wie Sie dennoch sichere lokale Kommunikation realisieren können, erklären wir Ihnen gerne in einempersönlichen Gespräch.Kontaktieren Sie uns für eine unverbindliche Beratung!

SEVENSTAX - Security made in Germany!