Wie intelligente Glühbirnen Ihr Passwort stehlen könnten | ENBLE

Intelligent bulbs stealing your password | ENBLE

TP-Link

Wenn es mit dem Internet verbunden ist, kann es gehackt werden – ja, auch einige der besten intelligenten Glühbirnen. Während intelligente Glühbirnen es Ihnen ermöglichen, die Beleuchtung und Atmosphäre in Ihrem Raum anzupassen, sind sie mit WLAN verbunden, was sie anfällig für Angriffe macht. Forscher der Universita di Catania und der University of London haben eine bestimmte Schwachstelle in der TP-Link Tapo L530E intelligenten Glühbirne und der dazugehörigen TP-Link Tapo App entdeckt. Es scheint, dass Hacker über die intelligente Glühbirne Zugriff auf Ihre Passwörter erhalten könnten.

Heutzutage sind intelligente Geräte in Haushalten weltweit immer häufiger anzutreffen. Die TP-Link Tapo L530E ist eine beliebte intelligente Glühbirne, was die Forscher dazu veranlasste, sie zu analysieren und nach Sicherheitslücken zu suchen. Leider fanden sie mindestens vier Schwachstellen, die alle darauf zurückzuführen sind, dass die Sicherheitsmaßnahmen der Glühbirne möglicherweise unzureichend sind.

Der erste Fehler, der als Schwachstelle mit hoher Schwere eingestuft wird, resultiert daraus, dass Angreifer während des Schlüsselaustauschs möglicherweise die Tapo L503E imitieren können. Mit einer Schwerebewertung von 8,8 ermöglicht diese Schwachstelle angeblich Hackern, die Tapo-Passwörter des Benutzers zu stehlen und die Kontrolle über ihre intelligenten Geräte zu übernehmen. Der zweite Schwachpunkt mit hoher Schwere (bewertet mit 7,6) hängt mit dem schwachen Prüfsummen-Code zusammen, der von den intelligenten Glühbirnen verwendet wird, was potenziellen Angreifern das Auffinden erleichtert, entweder durch Brute-Force oder durch Überprüfung des Codes der Tapo App.

Die anderen beiden Schwachstellen sind weniger schwerwiegend. Eine betrifft die Tatsache, dass es bei der Verschlüsselung erheblich an Zufälligkeit mangelt, was es Bedrohungsakteuren erleichtert, das kryptografische Schema vorherzusagen und zu entschlüsseln. Schließlich scheint es so, dass alle von der intelligenten Glühbirne empfangenen Nachrichten für ganze 24 Stunden für die Angreifer zugänglich bleiben.

Was bringt es, eine intelligente Glühbirne zu hacken? Nun, es stellt sich heraus, dass es gefährlicher ist, als es scheint. Die am höchsten bewertete Schwachstelle ermöglicht es Angreifern tatsächlich, Ihre intelligente Glühbirne zu imitieren und Ihre Tapo-Daten zu stehlen. Von dort aus könnten sie Ihren WLAN-SSID und Ihr Passwort sehen, was dann potenziell alle anderen Geräte gefährden würde, die mit diesem Netzwerk verbunden sind. Glücklicherweise scheint das Gerät sich im Einrichtungsmodus befinden zu müssen, damit der Angriff möglich ist – aber Hacker können die Authentifizierung von der intelligenten Glühbirne entfernen und den Einrichtungsmodus erzwingen.

TP-Link

Es besteht auch die Möglichkeit eines Man-in-the-Middle (MITM) Angriffs, der auf der oben genannten Schwachstelle beruht, um RSA-Verschlüsselungsschlüssel abzurufen, die später zum Austausch von Daten verwendet werden können. Letztendlich scheinen nicht nur Tapo-Anmeldedaten, sondern auch WLAN-Passwörter und möglicherweise andere sensible Daten gefährdet zu sein.

Die Forscher beschrieben alle vier Schwachstellen in einem Bericht, über den Bleeping Computer berichtete. Bevor sie die Angelegenheit öffentlich machten, meldeten sie die Schwachstellen an TP-Link, das versprochen hat, die Firmware der Glühbirne zu aktualisieren, um diese Probleme zu beheben. Es ist jedoch unklar, wie lange dies dauern wird.

Was können Sie tun, um sicher zu bleiben? Am wichtigsten ist es, auf jedem Gerät und in jeder App, die es ermöglicht, die Zwei-Faktor-Authentifizierung (MFA) zu verwenden. Verwenden Sie sichere Passwörter und verwenden Sie niemals dasselbe Passwort zweimal. Was intelligente Heimgeräte im Allgemeinen betrifft, ist es vielleicht am besten, sie von wichtigen Netzwerken fernzuhalten, da sie oft nicht die gleiche Art von Sicherheit bieten, die man von fortschrittlicheren Geräten erwarten würde.