Wie intelligente Glühbirnen Ihr Passwort stehlen könnten

Wenn es mit dem Internet verbunden ist, kann es gehackt werden – ja, sogar einige der besten intelligenten Glühbirnen . Während Sie mit intelligenten Glühbirnen die Beleuchtung und Atmosphäre in Ihrem Raum ganz einfach anpassen können, stellen sie eine WLAN-Verbindung her, was sie anfällig für Angriffe macht. Forscher der Universita di Catania und der University of London entdeckten eine besondere Schwachstelle in der intelligenten Glühbirne TP-Link Tapo L530E und der dazugehörigen TP-Link Tapo-App. Es scheint, dass Hacker allein über die intelligente Glühbirne Zugriff auf Ihre Passwörter erhalten könnten.

Heutzutage sind intelligente Geräte in Haushalten auf der ganzen Welt immer beliebter. Die TP-Link Tapo L530E ist eine beliebte intelligente Glühbirne, was die Forscher dazu veranlasste, sie zu analysieren und zu versuchen, Schwachstellen in ihrer Sicherheit zu finden. Leider fanden sie mindestens vier Schwachstellen, die alle darauf zurückzuführen waren, dass die Sicherheitsmaßnahmen der Glühbirne möglicherweise unzureichend waren.

Der erste Fehler, der als Sicherheitslücke mit hohem Schweregrad eingestuft wird, ergibt sich aus der Tatsache, dass sich Angreifer während des Sitzungsschlüsselaustauschs möglicherweise als Tapo L503E ausgeben könnten. Mit einem Schweregrad von 8,8 ermöglicht diese Schwachstelle dem Hacker Berichten zufolge, die Tapo-Passwörter des Benutzers zu stehlen und die Kontrolle über dessen Smart-Geräte zu übernehmen. Der zweite Fehler mit hoher Schwere (Bewertung 7,6) hängt mit dem schwachen Prüfsummencode zusammen, der von den Smart Bulbs verwendet wird, was es potenziellen Angreifern leicht macht, ihn herauszufinden, entweder durch Brute-Force oder durch Durchsuchen des Tapo-Codes App.

Die anderen beiden Schwachstellen sind weniger schwerwiegend. Ein Problem besteht darin, dass bei der Verschlüsselung ein erheblicher Mangel an Zufälligkeit besteht, was es für Bedrohungsakteure einfacher macht, das kryptografische Schema vorherzusagen und zu entschlüsseln. Schließlich scheint es, dass alle von der Smart Bulb empfangenen Nachrichten ganze 24 Stunden lang für die Angreifer zugänglich bleiben.

Was nützt es, eine intelligente Glühbirne zu hacken? Nun, es stellt sich heraus, dass es gefährlicher ist, als es scheint. Die am höchsten bewertete Schwachstelle ermöglicht es Angreifern tatsächlich, sich als Ihre intelligente Glühbirne auszugeben und Ihre Tapo-Daten zu stehlen. Von da an könnten sie Ihre WLAN-SSID und Ihr Passwort sehen, wodurch möglicherweise alle anderen mit diesem Netzwerk verbundenen Geräte offengelegt würden. Glücklicherweise scheint sich das Gerät im Setup-Modus zu befinden, damit der Angriff möglich ist – Hacker können jedoch die Authentifizierung von der Smart Bulb entfernen und so die Verwendung des Setup-Modus erzwingen.

Es besteht auch die Möglichkeit eines Man-in-the-Middle-Angriffs (MITM), der die oben genannte Schwachstelle ausnutzt, um RSA-Verschlüsselungsschlüssel abzurufen, die später zum Datenaustausch verwendet werden können. Letztlich scheint es, dass nicht nur Tapo-Zugangsdaten, sondern auch WLAN-Passwörter und potenziell andere sensible Daten gefährdet sein könnten.

Die Forscher beschrieben alle vier Schwachstellen in einem Artikel , über den dann Bleeping Computer berichtete. Bevor sie die Angelegenheit öffentlich machten, teilten sie TP-Link die Schwachstellen mit und das Unternehmen versprach, die Firmware der Glühbirne zu aktualisieren, um diese Probleme zu beheben. Es ist jedoch unklar, wie lange es dauern wird, bis dieses Problem behoben ist.

Was können Sie tun, um sicher zu bleiben? Vernachlässigen Sie vor allem nicht die Verwendung der Multi-Faktor-Authentifizierung (MFA) auf jedem Gerät und jeder App, die dies zulässt. Verwenden Sie sichere Passwörter und verwenden Sie niemals dasselbe Passwort zweimal. Was Smart-Home-Geräte im Allgemeinen betrifft: Wenn Sie sie von wichtigen Netzwerken fernhalten können, ist das möglicherweise das Beste, da sie oft nicht die gleiche Sicherheit bieten, die Sie von fortschrittlicheren Geräten erwarten würden.