Aufgrund einer kritischen Sicherheitslücke in Smart-Home-Geräten von Shelly sind über 5,2 Millionen europäische Haushalte dem Risiko eines unbefugten Zugriffs ausgesetzt. Sicherheitsforscher von Pen Test Partners haben herausgefunden, dass die neueste Generation (Gen 4) von Shelly-Geräten einen versteckten WLAN-Zugangspunkt dauerhaft aktiv hält, selbst nach der Verbindung mit einem Heimnetzwerk. Diese Hintertür ermöglicht es jedem in der Nähe, Sicherheitsmaßnahmen zu umgehen und möglicherweise die Kontrolle über Türen, Tore und andere verbundene Geräte zu erlangen.
Die versteckte Hintertür erklärt
Im Gegensatz zu älteren Shelly-Modellen, die den temporären Zugangspunkt nach der Einrichtung automatisch herunterfahren, lassen Gen-4-Geräte ihn auf unbestimmte Zeit laufen. Dieser Konstruktionsfehler schafft einen unsichtbaren Einstiegspunkt für Hacker und ermöglicht es ihnen, das Netzwerk des Hausbesitzers ohne deren Wissen auszunutzen.
Die Folgen sind schwerwiegend. Ein Angreifer könnte diesen offenen Zugangspunkt nutzen, um intelligente Schlösser zu entriegeln, Garagentore zu öffnen oder Sicherheitssysteme zu deaktivieren – und das alles, ohne Alarme auszulösen oder offensichtliche Spuren zu hinterlassen.
Umfassendes Netzwerkrisiko
Das Problem geht über Shelly-Geräte hinaus. Ein einzelnes kompromittiertes Gen-4-Gerät kann als Gateway zu einem gesamten Smart-Home-Netzwerk fungieren, einschließlich Geräten anderer Hersteller. Viele europäische Haushalte mischen Smart-Home-Marken und sind dadurch besonders anfällig. Es geht nicht nur darum, dass ein Produkt ausfällt; Es geht um kaskadierende Ausfälle über miteinander verbundene Systeme hinweg.
Verzögerte Reaktion, Verantwortung des Benutzers
Pen Test Partners informierten Shelly über die Sicherheitslücke und veranlassten das Unternehmen, Firmware 1.8.0 als Fix zu veröffentlichen. Das Update erfordert jedoch eine manuelle Installation und die meisten Benutzer sind sich nicht bewusst, dass sie Maßnahmen ergreifen müssen. Laut Ken Munro, Gründer von Pen Test Partners, hat Shelly das Problem aufgrund von Reputationsbedenken nur langsam kommuniziert.
Shelly behauptet, dass ihre mobile App Benutzer dazu anleitet, Geräte richtig zu sichern, aber das hängt von der Befolgung offizieller Einrichtungsverfahren ab. Benutzer, die ihre Geräte manuell konfigurieren, erhalten Warnungen zur Sicherung des Zugangspunkts. Ein bevorstehendes Firmware-Update wird den offenen Zugangspunkt nach einer Zeitüberschreitung automatisch deaktivieren, aber bis dahin müssen Hausbesitzer die Initiative ergreifen.
Der wachsende Trend zu IoT-Schwachstellen
Dies ist kein Einzelfall. Smart-Home-Geräte geraten zunehmend ins Visier von Hackern, wobei die Türklingeln von Amazon Ring und die Überwachungskameras von Dahua zu den jüngsten Opfern zählen. Das zugrunde liegende Problem ist ein Ansturm auf den Markt, ohne grundlegende Sicherheitsmaßnahmen zu priorisieren.
Hersteller sammeln oft Benutzerdaten, um Produkte zu verbessern, aber dieser Datenverlust kann Verhaltensmuster aufdecken, die Hacker ausnutzen. Das Problem sind nicht nur Hardwarefehler; Es sind auch schlechte Datenverwaltungspraktiken.
„Wir haben ähnliche Probleme bei Solarwechselrichtern gesehen und vor mehr als 10 Jahren sogar eine ähnliche Schwachstelle in einem Auto entdeckt.“ – Ken Munro, Pen-Test-Partner
Die Zunahme vernetzter Geräte bedeutet mehr Angriffsflächen für böswillige Akteure. Solange die Hersteller der Sicherheit nicht standardmäßig Priorität einräumen, bleiben die Verbraucher anfällig.
Das Fazit ist klar: Die Sicherheit von Smart Homes ist nur so stark wie ihr schwächstes Glied. Bis Unternehmen diese grundlegenden Mängel beheben und Verbraucher proaktive Maßnahmen zur Sicherung ihrer Netzwerke ergreifen, bleiben Smart Homes ein Hauptziel für Hacker.
