Über unsMediaKontaktImpressum
Mirko Ross 05. Juni 2018

Die schlimmsten Fehler des IoT und was Produkt-Entwickler daraus lernen können

Dieser Witz ist bereits ein Klassiker: "Das S in der Abkürzung IoT steht für Sicherheit." Das Internet der Dinge oder englisch abgekürzt IoT, ist eine relative junge Disziplin, die sich leider schon einen zweifelhaften Ruf in Punkto Sicherheit erworben hat. Dass dem so ist, liegt im wahrsten Sinne in der Natur der "Dinge". Das Internet der Dinge verfügt über einen hohen Grad an Komplexität, mit vielen Fallstricken für erfahrene und unerfahrene Entwickler. Zudem erfordert die Fertigungstiefe der Produkte ein Zusammenspiel von vielen Fachexperten, Zulieferern und Dienstleistern. Fehler zu Lasten der Sicherheit und des Datenschutzes sind in dieser komplexen Disziplin geradezu vorprogrammiert. Doch Entwickler und Unternehmen können aus spektakulären Fehlern der Vergangenheit lernen, um zukünftig bessere und sicherere Produkte zu bauen. Es lohnt sich also, einen Blick auf spektakuläre Fehler zu werfen.

Warum viele smarte Schlösser vor allem für Einbrecher smart sind

Für bestimmte Anwendungen gibt es einen Bedarf für smarte Schließsysteme. Beispielsweise, wenn Kunden eines Bike-Sharing Anbieters per App das gebuchte Fahrrad entriegeln können sollen. Tatsächlich ist das smarte Fahrradschloss eine wesentliche Komponente für den Verbreitungserfolg von Bike-Sharing. Und dennoch sind smarte Schloss-Systeme mit Abstand das ungeeignetste IoT-Produkt, das man entwickeln und als Kunde erwerben kann. Der Grund hierfür ist die grundlegende Produkteigenschaft eines Schlosses. Das sichere mechanische Verschließen erfordert eine ausgefeilte Technik und viel Wissen. Zeitgleich mit dem 1. Fallriegelschloss im 3. Jahrtausend vor Christus entstand die Begehrlichkeit, Schließsysteme zu knacken. Sichere Schließsysteme beruhen auf den Erfahrungen von über 5.000 Jahren menschlicher Kultur- und Ingenieursgeschichte. Heutige sichere mechanische Schließsysteme sind ein Meisterwerk der Technik und Werkstoffkunde, mit einer komplexen und ausgefeilten Technik. Ein einigermaßen sicheres Schloss zu bauen, ist eine Meisterleistung. Ein solches Schloss "smart" zu machen, fügt einem komplexen mechanischen System eine weitere komplexe Eigenschaft hinzu: Funktechnik, Elektronik, Übertragungsprotokolle, Embedded Software, App Software und Cloud Stacks. Eine Aufgabe, die Prinzipiell in ihrer Natur kompliziert ist, wird durch das Internet der Dinge in der Komplexität potenziert. Schwierig, wenn die smarte Sache dabei prinzipiell dem Zweck für Sicherheit sorgen soll.

Auf der Hacker-Konferenz Defcon 2016 zeigten Sicherheitsforscher, dass sich 12 von 16 smarten Schlössern über Schwachstellen in der Bluetooth-Implementierung öffnen ließen: Das sind drei Viertel der untersuchten Produkte. Häufige Schwachstellen: die Funkkommunikation zwischen Schloss und Handy-App war entweder gar nicht, fehlerhaft oder unzureichend verschlüsselt. Mithilfe gängiger Bluetooth Sniffer konnte so die Kommunikation beim Bedienen der App belauscht werden und es ließen sich Passwörter und Prozeduren zum Öffnen des Schlosses extrahieren. Klack. Schloss offen. Neben diesen Fehlern in der Software-Implementierung addieren sich mechanische Schwachstellen als zusätzliche Sicherheitslücken. Ein hochpreisiges smartes Vorhängeschloss für 120 Euro lässt sich mit zwei Stücken Weißblech einer Cola-Dose für 0,79 Cent binnen weniger Sekunden knacken. Diese Methode hinterlässt ebenso wie der Bluetooth-Angriff keine Spuren und geht sogar schneller. Sichere smarte Schlösser gehören deshalb zur Königsdisziplin der Produkte im Internet der Dinge, da sowohl Hard- wie Softwareentwicklung ein extrem hohes Sicherheitswissen erfordern.

Die Abhörwanze im Kinderzimmer

Die Kombination von App und Spielzeug ermöglicht vollkommen neue Spielwelten. Video-Gaming und physisches Spielen vereinen sich zu einem augmentierten Spielerlebnis, das Mehrwerte schafft und Spielfreude bereitet. Deshalb finden sich im Kinderzimmer auch zunehmend smarte Spielzeuge. Zu wesentlichen Ausstattung von smarten Spielzeugen gehören eingebaute Kameras und Mikrophone, um eine audiovisuelle Interaktion über oder mit dem Spielzeug herzustellen. Damit kann beispielsweise die angesprochene Puppe auf Fragen antworten. Zusätzlich wird dabei auch auf mehr oder weniger ausgefeilte Sprachanalyse per Cloud-Dienste zurückgegriffen. Das bedeutet, dass das smarte Spielzeug im Hintergrund mit einer Vielzahl von verketteten Diensten in Datenaustausch tritt. Die verwendeten Protokolle und Schnittstellen basieren hier meist auf gängigen REST-Schnittstellen zu Cloud Stack-Architekturen, die wiederum eine Vielzahl von standardisierten Angriffsmöglichkeiten bieten. Zudem dient für die Kommunikation das Smartphone als Gateway zum Cloudservice, wobei wiederum Bluetooth zur Datenübertragung zwischen Smartphone und Spielzeug genutzt wird – mit den bereits aus den smarten Schlössern bekannten Fallstricken bei Bluetooth-Verbindungen.

Das smarte vernetzte Spielzeug wird so zu einer komplexen Anwendung mit zahlreichen Diensten, die abgesichert werden müssen. Eine Lücke oder fehlerhafte Implementierung in einem Teil der Kette führt zur Unsicherheit in der gesamten Anwendung. Da wir es hier mit Mikrophonen und Kameras im privaten Raum zu tun haben, besteht die Gefahr, dass das smarte Spielzeug durch unautorisierten Datenzugriff zur Abhörwanze wird und damit schwerwiegend die Privatsphäre verletzt. 2016 veröffentlichte die amerikanische Verbraucherschutzbehörde eine offizielle Warnung zu vernetzen Spielzeugen. Anlass dazu war eine Reihe von spektakulären Hacks von Spielzeugen und deren vernetzen Cloud-Diensten.

  • Datensätze von über 6.4 Millionen Kindern und 4.8 Millionen Erwachsenen erbeuteten Hacker beim Eindringen in die Cloud-Datenbanken eines führenden Spielzeugherstellers aus Hong Kong. Die Schwachstellen waren hier klassische SQL Injections, gepaart mit unsicheren API-Verbindungen ohne Transportverschlüsselung.
  • Über zwei Millionen Sprachnachrichten zwischen Eltern und Kindern erbeuteten Hacker auf den Servern eines australischen Herstellers von Kuscheltieren. Auch hier wurden die sensiblen Daten unverschlüsselt in einer Clouddatenbank gespeichert, auf die ohne Authentifikation zugegriffen werden konnte. Für den Datenhack mussten die Angreifer lediglich die unverschlüsselte Kommunikation zwischen Smartphone-App und Cloud-Dienst per HTTP im Netzwerk analysieren. Mangelnde Verschlüsselung beim Umgang mit sensiblen Daten führt hier zu schweren Sicherheitslücken und Datenschutzverstößen.

Privatsphäre bei smarten Liebesspielzeug

Noch sensibler ist das Sicherheitsrisiko bei Datenschutz und Privatsphäre bei Produkten, die primär das Liebesleben anreichern sollen. Grundsätzlich gibt es eine Nachfrage nach konnektierten smarten Sexspielzeugen, die per App, alleine oder kollaborativ mit Partner, angesteuert werden kann. Eingebaute Mikrophone und Kameras sollen dieses augmentierte Liebesleben bereichern.

Grundsätzlich sind solche Produkte komplexe Anwendungssysteme, die nicht nur sprichwörtlich, sondern auch praktisch tief in die Intimsphäre der Anwender eindringen. Die Hardware smarter Sexspielzeuge wird meist von Herstellern aus Fernost geliefert, von Unternehmen in Amerika mit Apps und Cloudservices angereichert und dann auch in Europa an Konsumenten ausgeliefert. Dabei treten zahlreiche Sicherheitsprobleme auf: Beginnend von unsicheren Wifi-Passwörtern in der eingebauten Hardware, ungesicherte Funkverbindungen per Bluetooth und das unverschlüsselte Senden und Speichern sensibler Daten in Cloud-Systemen.

Exemplarisch für einen laxen Umgang in Punkto Sicherheit steht hier der Fall eines "Butt Plugs" – nennen wir das Produkt mal neutral "Stöpsel" – eines chinesischen Herstellers, der auch in Deutschland vertreibt. Dieses Sexspielzeug nutzt zum Datenaustausch eine Bluetooth-Verbindung zum Smartphone. Mit Hilfe einer App kann die Intensität der Vibration am Produkt eingestellt werden. Zudem können sich App und Benutzer über einen Chat Nachrichten austauschen. Der smarte Stöpsel soll so zum gemeinsamen Erlebnis werden. Pech, dass der Hersteller gleich an mehreren Stellen des Anwendungssystems erhebliche Sicherheitsprobleme hat. Beginnen wir zuerst mit der Bluetooth-Koppelungsroutine zwischen Stöpsel und Smartphone. Das Sexspielzeug lässt sich ohne Authentifizierung von beliebigen Endgeräten pairen, also verbinden. So verbindet sich die Hardware beispielsweise anstatt mit der Smartphone-App mit einem Rechner, der die Bluetooth-Verbindung aufbaut. Wer sich also mit einem Laptop in zehn bis fünfzehn Metern Reichweite befindet, kann eine Kommunikation zum Stöpsel herstellen. Das Bluetooth-Protokoll ist an dieser Stelle komplett unverschlüsselt zwischen Stöpsel und Smartphone implementiert. Mit dem Wissen der passenden Bluetooth-Klassen können so Befehle, beispielsweise zum Start oder zur Erhöhung der Vibration, gesendet werden. Angreifer können das Gerät von extern ansteuern. Die Sexchat-Funktion der App wiederum basiert wiederum auf einer ungesicherten Internet-Verbindung im Jabber-Protokoll und ist anfällig für Man-in-the-Middle-Angriffe. Angreifer können nicht nur im Klartext mitlesen, sondern erhalten auch Meta-Informationen wie Mail-Adresse und Produktnummern der Benutzer.

Fazit: Was können Entwickler und Unternehmen lernen?

Produkte für das Internet der Dinge sind komplex. Wer einige Basisthemen beachtet, kann die gröbsten Fehler in Punkto Sicherheit vermeiden. Dazu zählen:

  • Die Hardware vor unbefugtem Zugriff und Missbrauch schützen. Dies ist meist eine Aufgabe, die im physischen Produktdesign gelöst werden muss.
  • Kennwörter im Embedded Controller nur verschlüsselt speichern.
  • Funkverbindungen nur mit Authentifizierung herstellen.
  • Daten über Funkverbindungen – Wifi oder Bluetooth – immer verschlüsselt austauschen.
  • Daten auf Smartphone-Apps immer verschlüsselt abspeichern.
  • Verbindungen mit Cloud-Diensten immer nur über Authentifizierungen, z. B. OAuth, herstellen.
  • Daten in Cloud-Diensten immer verschlüsselt speichern.
  • Nur Daten erheben und speichern, die wirklich für die Anwendung benötigt werden.

Und zu guter Letzt: Dreimal überlegen, ob das Produkt wirklich eine Verbindung zum Internet benötigt.

Mirko Ross auf den IT-Tagen 2018

Zum gleichen Thema hält Mirko Ross einen Vortrag auf den diesjährigen IT-Tagen – der Jahreskonferenz der Informatik Aktuell.

Die schlimmsten Fehler des IoT und was Produkt-Entwickler daraus lernen können
(11.12.2018, 12:30 Uhr)

Autor

Mirko Ross

Mirko Ross ist Gründungsgesellschafter und CEO der digital worx GmbH, unterrichtet Web Engineering und mobile Softwareentwicklung an der Hochschule Heilbronn und Mitglied des Internet Of Things Council.
>> Weiterlesen
Das könnte Sie auch interessieren
botMessage_toctoc_comments_9210