Anzeige

Risiko IoT-Apps: Die Verwundbarkeit der Dinge durch Anwendungsschwachstellen

(Bild: ©Production Perig/Fotolia.com)

Sei es der Kühlschrank, der meldet, wenn die Milch alle ist, oder der Thermostat, der Nutzungsstatistiken aufs Smartphone sendet: Verschiedenste Produkte, die traditionell nicht über eine Netzwerkverbindung verfügten, werden mittlerweile damit ausgestattet. Abgesehen von Computer, Telefon, Tablet oder Router gilt grundsätzlich jedes Endanwender-Gerät, das sich mit einem Netzwerk verbinden kann, als IoT-Device. Zu den größten Problemen dieser Entwicklung zählen jedoch immer noch die vielen Sicherheitslücken der Geräte. Zwar bemühen sich Hersteller mittlerweile um Verbesserungen, zugleich zeigen sich neue Bedrohungen wie die Kompromittierung von Anmeldeinformationen durch Schwachstellen in Web- und Mobil-Applikationen bestimmter IoT-Devices. Derlei gestohlene Anmeldedaten ermöglichen es Angreifern, sich beispielsweise den Videofeed einer IoT-Überwachungskamera anzeigen zu lassen, Alarme zu setzen, zu empfangen oder zu löschen, gespeicherte Videoclips aus dem Cloud-Storage zu entfernen sowie Kontoinformationen auszulesen. Darüber hinaus können Kriminelle die Anmeldedaten auch dazu nutzen, um ihr eigenes Firmware-Update auf das IoT-Gerät zu übertragen, seine Funktionalität zu ändern und mit dem kompromittierten Gerät, andere Geräte im selben Netzwerk anzugreifen.

Schwachstellen-Test: Die unsichere Security-Kamera

Um diese Art Bedrohung zu veranschaulichen, hat das Sicherheitsteam von Barracuda eine IoT-Überwachungskamera untersucht und eine Vielzahl von Schwachstellen in der Web-Applikation sowie dem Ökosystem der mobilen Anwendungen der Kamera identifiziert. Hierzu zählen:

  • Die mobile App ignoriert die Gültigkeit des Serverzertifikats
  • Cross-Site Scripting (XSS) in der Web-Applikation
  • Datei-Übertragung in einen Cloud-Server
  • Der Benutzer steuert den Link zum Aktualisieren des Geräts
  • Geräte-Updates werden nicht signiert
  • Das Gerät ignoriert die Gültigkeit des Serverzertifikats

Mithilfe dieser Schwachstellen konnte das Barracuda-Sicherheitsteam zwei Angriffsarten durchführen, um Anmeldeinformationen abzugreifen und das IoT-Gerät zu kompromittieren – und das ohne direkte Verbindung zum Gerät selbst.

Angriff 1: Diebstahl von Zugangsdaten aus der mobilen App

Gelingt es einem Angreifer, den Datenverkehr mit der mobilen App über ein kompromittiertes Netzwerk abzufangen, kann er das Benutzerpasswort problemlos abgreifen. Der Ablauf des Angriffs ist wie folgt:

  1. Das Opfer verbindet sich mit seinem Mobiltelefon mit einem kompromittierten Netzwerk.
  2. Die IoT-App wird versuchen, sich über https mit den Servern des Herstellers zu verbinden.
  3. Das kompromittierte Netzwerk leitet die Verbindung zum Server des Angreifers weiter, der sein eigenes SSL-Zertifikat verwendet und die Kommunikation zum Server des Anbieters vorgaukelt.
  4. So erhält der Server des Angreifers einen ungesalzenen MD5-Hash des Benutzerkennworts.
  5. Zudem kann der Angreifer auch die Kommunikation zwischen dem Server des Anbieters und der App manipulieren.

Angriff 2: Zugangsdatendiebstahl von der Webanwendung

Dieser Angriff nutzt die Funktionen aus, die es Benutzern ermöglichen, den Gerätezugriff auf die IoT-Überwachungskamera mit anderen Benutzern zu teilen. Um ein Gerät gemeinsam nutzen zu können, muss der Empfänger über ein gültiges Konto beim IoT-Anbieter verfügen und der Absender den Benutzernamen des Empfängers kennen. Bei der getesteten IoT-Überwachungskamera entsprach der Benutzername der E-Mail-Adresse. Cyberkriminelle würden bei einem Angriff folgendermaßen vorgehen:

  1. Der Angreifer bettet einen XSS-Exploit in einen Gerätenamen ein und teilt dieses Gerät dann mit dem Opfer.
  2. Sobald sich das Opfer mit der Webanwendung in sein Konto einloggt, wird der XSS-Exploit ausgeführt und teilt das Zugriffstoken, das als Variable in der Webanwendung gespeichert ist, dem Angreifer mit.
  3. Mit dem Zugriffstoken kann der Angreifer anschließend auf das Konto des Opfers und alle registrierten Geräte zugreifen.

Die Schwachstellenanalyse zeigt, wie Angreifer ein IoT-Gerät ohne direkte Verbindung zum Gerät selbst kompromittieren können. Das erleichtert Cyberkriminellen das Leben: Kein Scannen nach anfälligen Geräten mehr auf der IoT-Suchmaschine Shodan. Stattdessen zielt der Angriff auf die Infrastruktur des IoT-Herstellers. Diese Art Bedrohung kann verschiedenste IoT-Devices betreffen, da sie die Art und Weise nutzt, wie das Gerät mit der Cloud kommuniziert. Mit der Verlagerung des Zugriffs sowie der Zugriffskontrollen für IoT-Geräte auf Cloud-Dienste sind die oben gezeigten neuen Schwachstellen und Angriffsvarianten hinzugekommen. So steht und fällt die Sicherheit des Internet of Things nicht nur mit den Sicherheitsvorkehrungen für die Geräte selbst, sondern mit der Entwicklung und genauen Schwachstellenanalyse von Prozessen.

Empfehlungen der Redaktion

Das könnte Sie auch interessieren

Warum MQTT im IIoT so erfolgreich ist und was man vor dem Einsatz des Übertragungsprotokolls wissen sollte, erläutert der folgende Beitrag.‣ weiterlesen

Anzeige

Markforscher rechnen mit einem Anstieg des weltweiten Datenvolumens auf 175 Zettabyte im Jahr 2025. Über die Hälfte soll dann von vernetzten Applikationen im IoT und der Industrie 4.0 ausgehen. Zusammen mit Edge- und Fog-Technologien sorgen Computer-on-Module (COM), Single-Board-Computer (SBC) und entsprechende Software dafür, die Rechenleistung effizient, schnell und flexibel zur Verfügung zu stellen.‣ weiterlesen

Anzeige

Vom Sensor bis zur Cloud in wenigen Momenten: Die neue schlüsselfertige IoT-Plattform von Datacake macht Prozesse sichtbar. Das Startup bringt nicht nur die intuitiv zu bedienende Cloudlösung mit, sondern vernetzt darüber hinaus Anlagen und Maschinen mittels eigener Hardware auf Mobilfunkbasis. Nutzer können Prozesse in Echtzeit kontrollieren, Regeln für die automatische Anlagensteuerung erstellen und so ihre Prozesse optimieren. Datacake hat die Lösung speziell für die Bedürfnisse von KMU entwickelt.‣ weiterlesen

Anzeige

DigiCert, Utimaco, und Microsoft Research haben den Picnic-Algorithmus in einem ersten Testlauf erfolgreich im Bereich des Internet der Dinge implementiert.‣ weiterlesen

Anzeige

Embedded-Systeme per Supervised Machine Learning für eine bestimmte Aufgabenstellung zu trainieren anstatt den gewünschten Zusammenhang zwischen den jeweiligen Eingangs- und Ausgangsdaten anhand wissensbasierter Regeln in einer Hochsprache zu codieren, ist für viele Anwendungen inzwischen die deutlich effektivere Alternative.‣ weiterlesen

Anzeige

Comp-Mall stellt den Embedded-Computer Modell DS-1202 vor. Das System bietet zwei PCI/PCIe-Steckplätze und damit Flexibilität wie ein 19"-System.‣ weiterlesen

Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige