Schwere Sicherheitslücke in Belkin WeMo Smart Home Geräten

Belkin Wemo Switch
Geschrieben von crissxcross
ssmaart-Haus

Die Smart Home Produkte “WeMo” weisen laut der IT-Sicherheitsfirma IOActive gleich mehrere Sicherheitslücken auf.

Was ist WeMo?

Unter der Marke WeMo bietet der Hersteller Belkin verschiedene Produkte zur Heimautomatisierung an. Dazu gehören schaltbare Steckdosen sowie Bewegungsmelder welche sich per Apps von Smartphone und Tablet über das Internet steuern lassen.

Am Dienstag berichtete die T-Sicherheitsfirma IOActive dass mehr als eine halbe Million Smart-Home-Geräte der WeMO Produktreihe anfällig für Hackerangriffe sind.

Die Sicherheitsforscher von AIOActive warnen gleich vor mehreren Sicherheitslücken in Belkins WeMo Geräten.

So ist es potentiellen Angreifern möglich, manipulierte Firmware auf die WeMo Geräte aufzuspielen.

Die Schwachstelle

Der Datenverkehr zwischen den Belkin Servern und dem WeMo-Gerät ist bei einem Firmware-Update zwar verschlüsselt, jedoch wird dabei die Gültigkeit des verwendeten SSL-Zertifikats nicht geprüft. Daher kann ein beliebiges Zertifikat für die Übertragung einer Firmware-Datei genutzt werden kann.

Ob ein Firmware-Update vorliegt, erfahren Wemo-Geräte aus einem unverschlüsselten RSS-Feed.

Die Auswirkungen

Durch die somit installierte “böse” Firmware könnten Angreifer Fehlfunktionen hervorrufen, warnt IOActive – welche im schlimmsten Fall sogar zu einem Brand führen könnten. Weiterhin könnten die Geräte auch als Ausgangspunkt für weitere Angriffe auf Geräte wie Laptops oder Mobilgeräte im eigenen Netzwerk verwendet werden.

Mike Davis, Principal Research Scientist bei IOActive sagte dazu: “Wenn wir unser Zuhause mit dem Internet verbinden, wird es immer wichtiger, dass Anbieter von “Internet der Dinge”-Geräten sicherstellen, dass schon am Anfang der Produktentwicklung vernünftige Sicherheitsmethoden angewendet werden

So schützt du dich

Laut IOActive hat das US-amerikanische CERT (Computer Emergency Response Team) Belkin bereits vor einiger Zeit auf die Sicherheitslücken hingewiesen. Da der Hersteller jedoch nicht reagiert habe, veröffentlichte das CERT nun eine Warnung vor WeMo-Produkten.

Heute teilte Belkin mit, dass die von IOActive gemeldeten Lücken durch das Firmwareupdate (Version 3949) behoben wurden. Nutzer sollen umgehend ihre Smartphone-Apps auf die aktuellen Versionen (1.4.1 iOS und 1.2.1 Android) aktualisieren mit welcher dann die Firmwareversion der Wemo-Geräte auf den neusten Stand gebracht werden können.

Diesen Blogpost hat geschrieben ...

crissxcross

Chris, Gründer und Blogger von siio.
Gelernter IT-Systemelektroniker, seit vielen Jahren beruflich als Produktmanager im Smart Home unterwegs. Technikverliebter Familienvater, Apple Fan. Nach einigen Jahren Stadtleben wieder froh auf dem Land zu sein.

Gib deinen Senf dazu!