Ein gravierender Designfehler in Shellys neuem Gen-4‑Heimsicherheitsgeräten könnte Millionen europäischer Haushalte Angriffen ausgesetzt sein, behauptet Pen Test Partners.
Sicherheitsforscher eines Cybersecurity-Beratungsunternehmens behaupten, eine gravierende Schwachstelle in Shelly-Smart-Home-Produkten, einem europäischen Anbieter von Heimsicherheitssystemen, entdeckt zu haben.
Derzeit werden Shelly-Produkte in mehr als 5,2 Millionen europäischen Haushalten eingesetzt. Dieses Designproblem schafft eine unsichtbare Hintertür in Privatwohnungen, die die meisten Benutzer niemals finden werden, behauptet Pen Test Partners.
Shellys neue Gen-4‑Smart-Home-Geräte lassen den für die Erstkonfiguration benötigten offenen drahtlosen Zugangspunkt dauerhaft eingeschaltet, selbst nachdem sie ordnungsgemäß mit dem Heim-WLAN-Netzwerk verbunden wurden, behauptet Pen Test Partners.
Dadurch läuft im Hintergrund ein verstecktes Netzwerk weiter, ohne dass der Benutzer Kenntnis davon hat oder zustimmt, noch lange nach der Einrichtung.
Im Gegensatz dazu schalteten die bisherigen Modelle des Unternehmens diesen Zugangspunkt automatisch ab, nachdem das Gerät mit dem Heim-WLAN-Netzwerk verbunden war.
Dieser Fehler kann es jedem außerhalb eines Privathauses ermöglichen, das WLAN-Netzwerk des Bewohners zu nutzen, um die Haustür, die Garagentür oder das Tor zu öffnen, wodurch ein physisches Sicherheitsrisiko für Einbruch und Hausdurchsuchungen entsteht.
Allerdings geht das Problem viel tiefer. Eine umfassendere Untersuchung von Pen Test Partners behauptet, dass es mehr als ein einfaches Designproblem sei.
Die aktuelle Gen-4‑Schwachstelle bedeutet, dass ein einzelnes betroffenen Gerät als Sprungbrett genutzt werden kann, um Zugang zu nahezu allen Smart-Home-Geräten zu erhalten – unabhängig davon, ob es Shelly-Produkte sind oder nicht.
Da in vielen europäischen Smart Homes noch gemischte Netzwerke unterschiedlicher Generationen laufen, sowohl Shelly-Produkte als auch andere, kann dies zu einem ernsthaften Mangels an Schutz führen – online wie offline.
Noch keine Gegenmaßnahmen ergriffen
Pen Test Partners sagte, dass es Shelly über diese Sicherheitslücke informiert habe, und das Unternehmen erklärte, dass Firmware 1.8.0, eine Reihe von Geräte-Updates, diesen Fehler beheben würde.
Dies hat die Nutzer dazu veranlasst, die Zugangspunkte selbst manuell zu deaktivieren, was den meisten Hausbesitzern wahrscheinlich nicht bekannt ist, dass sie dies tun müssen.
„Sie sollten eine umfassende Kommunikationskampagne durchführen, um zu erklären, dass ein Zugangspunkt offen gelassen wurde, und wie man ihn deaktiviert. Sie haben es nicht getan, weil es wahrscheinlich ihren Ruf beeinträchtigen würde“, sagte Ken Munro, Gründer von Pen Test Partners, gegenüber Euronews Next.
Shelly sagte Euronews Next, dass Benutzer, die offizielle Einrichtungsverfahren über ihre mobile App befolgen, den Zugangspunkt automatisch deaktiviert haben.
Benutzer, die eine manuelle Konfiguration wählen, erhalten Warnungen, den Zugangspunkt zu sichern. Ein bevorstehendes Firmware-Update wird Zugangspunkte nach einer Wartezeit automatisch deaktivieren.
„Wir möchten betonen, dass alle Konfigurationsabläufe und digitalen Vermögenswerte innerhalb des Shelly-Ökosystems – einschließlich unserer mobilen App und der Web-Cloud-Schnittstelle – den Benutzern klare Anweisungen geben, wie sie ihre Geräte sichern, sagte ein Shelly-Sprecher gegenüber Euronews Next.
„Jede Konfigurationswahl, die außerhalb dieser empfohlenen Arbeitsabläufe getroffen wird, einschließlich des Offenlassens des Zugangspunkts, ist letztlich eine Frage der Nutzerpräferenz und fällt außerhalb des Umfangs direkter Plattformkontrolle.“
„Wie bei jedem vernetzten Gerät bleiben die Nutzer frei, ihre Hardware nach ihren eigenen Bedürfnissen zu konfigurieren, und wir ermutigen sie ausdrücklich, die während der Einrichtung gegebenen Sicherheitsempfehlungen zu befolgen“, fügte es hinzu.
Shelly hob außerdem hervor, dass es eine Verbesserungsmaßnahme geben werde, die es ermöglicht, den Zugangspunkt nach einer vordefinierten Zeit automatisch zu deaktivieren, sofern er nicht ausdrücklich für Konfiguration oder Bereitstellung benötigt wird, in einer kommenden Firmware-Version.
Zunehmende Schwachstellen in vernetzten Geräten
In den letzten Jahren ist eine zunehmende Anzahl von Smart-Home- und anderen verbundenen Geräten wegen signifikanter Schwachstellen in die Kritik geraten. Dazu gehören Amazons Ring-Video-Türklingeln und Dahua-Sicherheitskameras.
„Unser Fachgebiet sind vernetzte Geräte, und wir testen alle Arten von Smart-Home-Systemen“, merkte Munro an.
„Wir haben ähnliche Probleme in Solarwechselrichtern gesehen und vor mehr als zehn Jahren eine ähnliche Schwachstelle in einem Auto gefunden.“
Datenleckagen, insbesondere in Bezug auf Nutzungs- und Verhaltensdaten, aus diesen Smart-Home-Geräten, sind ein weiteres zentrales Problem.
„Manchmal entdecken wir, dass Nutzungs- und Verhaltensdaten von Personen versehentlich offengelegt werden. Hersteller von Smart-Geräten sammeln Nutzungsdaten, um ihre Produkte zu verbessern, und sie vergessen oft, dass einzelne Daten ziemlich informativ sein können“, sagte Munro.
