HP: In 10 Geräten fürs Internet der Dinge stecken 250 Schwachstellen
HP hat unter anderem in Fernsehern, Webcams, Waagen und Garagenöffnern 250 Schwachstellen entdeckt. Ein Großteil verwendet einfache Passwörter wie 1234 und überträgt Nutzerdaten unverschlüsselt. HP zufolge sind zudem in sechs von zehn Fällen auch die Web-Oberflächen anfällig.
Hewlett-Packard hat die Sicherheit von Geräte für das Internet der Dinge (Internet of Things, kurz IoT) untersucht und die Ergebnisse nun veröffentlicht. Es hat dafür zehn führende IoT-Geräte für die “Internet State of the Union Study” überprüft. Insgesamt hat der Konzern 250 Schwachstellen gefunden.
Untersucht hat HP Geräte wie “Fernseher, Webcams, Thermostate, fernsteuerbare Steckdosen, Löschanlagen, Türschlösser, Waagen und Garagenöffner”. Das Unternehmen nannte weder Produktnamen, noch welche dieser acht Kategorien wirklich mehrfach vertreten waren. Für die Überprüfung, der vom Open Web Application Security Project definierten Schwachstellen, setzte es die hauseigene Lösung Fortinet on Demand ein.
Die Analyse ergab, dass acht der zehn Geräte Anwenderdaten sammeln: etwa Namen, E-Mail- und Postadresse, Geburtsdatum, Kreditkarten- und Gesundheitsdaten. Mindestens eine dieser Angaben riefen neun von ihnen ab und speicherten sie.
Den Einsatz eines starken Passworts forderten nur zwei der Geräte. Die restlichen Acht gaben sich gegebenenfalls auch mit “1234” zufrieden. Zum Großteil kamen die solchermaßen schlecht geschützten Konten auch für den Zugang zur Website oder App des entsprechenden Anbieters zum Einsatz.
Die Kommunikation zwischen dem lokalen Netz und dem Internet verschlüsselten die IoT-Geräte in sieben von zehn Fällen nicht. Eine unverschlüsselte Übertragung der Daten in die Cloud nahm die Hälfte vor. Dabei handelt es sich überwiegend um sehr private Daten.
In sechs von zehn Fällen beanstandete HP die Web-Oberfläche. Beispielsweise waren sie anfällig für Cross-Site-Scripting, verfügten über mangelhaftem Session-Management, übertrugen Zugangsdaten als Klartext oder stellten ein schwach geschütztes Standardkonto bereit. Angreifer hätten in sieben Fällen durch Serienabfragen oder die Funktion zum Rücksetzen des Passworts herausfinden können, welche gültigen Nutzerkonten es gibt.
Auch den Download von Software-Updates verschlüsselten sechs der Geräte nicht. Sie konnten sich abfangen lassen, extrahieren und als Dateisystem in Linux mounten, um die Software zu untersuchen oder zu modifizieren.
Die Datensicherheit im Internet der Dinge wird als potenziell gewaltiges Problem gesehen. Im April hatte McAfee eine “Strategie für ein sicheres Internet der Dinge” veröffentlicht. Demnach sollen über IP verbundenen Geräte bereits vom Hersteller nach bestimmten Regeln entwickelt werden, anstatt nachträglich für Sicherheit sorgen zu wollen.
Als ersten Eckpfeiler sieht McAfee vor, dass es eine Prüfmöglichkeit geben muss, um festzustellen, dass Geräte wie vom Hersteller beabsichtigt laufen und nicht korrumpiert wurden. Die Sicherheit ist für die gesamte Lebenszeit und nicht nur fürs Einzelgerät, sondern auch das Netzwerk und Rechenzentrum zu gewährleisten. Drittens müssen Branchenstandards geschaffen und eingehalten werden, um Geräte interoperabel zu machen, und viertens muss die Technik auf für die Gewährleistung der Privatsphäre des Einzelnen sorgen.
[mit Material von Florian Kalenda, ZDNet.de]
Tipp: Was wissen Sie eigentlich über Hewlett-Packard? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.