Die dunkle Seite von Smart Lighting: Über die Glühbirne gehackt
Kriminelle können Schwachstellen im beliebten ZigBee-Protokoll ausnutzen, um intelligente Glühbirnen und deren Controller zu übernehmen. Lösegeldforderungen oder Spyware sind die Folge
CPX Wien, Österreich – 5. Februar 2020 – Check Point Research, die Threat Intelligence-Abteilung von Check Point® Software Technologies Ltd. (NASDAQ: CHKP), einem weltweit führenden Anbieter von Cyber-Sicherheitslösungen, deckt Schwachstellen auf, die es einem Hacker ermöglichen würden, Ransomware oder andere Malware an Geschäfts- und Consumer-Netzwerke zu schicken, indem er intelligente Glühbirnen und deren Controller übernimmt.
Die Sicherheitsforscher von Check Point zeigten, wie ein Angreifer ein IoT-Netzwerk (intelligente Glühbirnen und ihre Kontrollbrücke) ausnutzen konnte, um Angriffe auf herkömmliche Netzwerke in Privathaushalten, Unternehmen oder sogar intelligenten Städten zu starten. Sie konzentrierten sich auf die marktführenden Glühbirnen und ihre Steuerungseinheiten von Philips Hue und fanden Schwachstellen (CVE-2020-6007). Diese ermöglichten ihnen, Netzwerke mit Hilfe eines Remote-Exploits im ZigBee-drahtlos-Protokoll für geringen Stromverbrauch zu infiltrieren, das derzeit zur Steuerung einer Vielzahl von IoT-Geräten verwendet wird.
In einer Analyse der Sicherheit von ZigBee-gesteuerten, intelligenten Glühbirnen, die 2017 veröffentlicht wurde, konnten Forscher bereits die Kontrolle über eine Philipps Hue-Glühbirne in einem Netzwerk übernehmen, bösartige Firmware darauf installieren und sich auf benachbarte Glühbirnen ausbreiten. Unter Ausnutzung dieser verbleibenden Schwachstelle beschlossen die Check-Point-Forscher, einen Schritt weiter zu gehen und die Glühbirne als Plattform zu verwenden, um die Kontrolleinheit der Glühbirnen zu übernehmen und schliesslich das Heimnetzwerk anzugreifen. Jüngere Modelle der Hue-Glühbirnen weisen die Schwachstelle nicht mehr auf.
Das Angriffsszenario sieht wie folgt aus:
- Der Hacker kontrolliert die Farbe oder Helligkeit der Glühbirne, um die Benutzer glauben zu machen, die Glühbirne habe eine Störung. Sie erscheint in der Kontrollanwendung als ‚Unerreichbar‘, weswegen der Käufer versuchen wird, das Leuchtmittel ‚zurückzusetzen‘.
- Die einzige Möglichkeit aber, die Glühbirne ‚neu zu starten‘, besteht darin, sie aus der Anwendung zu löschen und den Controller anzuweisen, die Glühbirne wieder zu finden.
- Diese entdeckt die kompromittierte Glühbirne wie gewohnt und der Benutzer fügt sie in sein Netzwerk ein.
- Die von Hackern kontrollierte Lampe mit schädlicher Firmware nutzt dann die Schwachstellen des ZigBee-Protokolls, um einen Heap-basierten Pufferüberlauf auf der Steuerung auszulösen, wofür sie eine sehr grosse Datenmenge sendet. Diese Datenpakete ermöglichen es dem Hacker zudem, heimlich eine Malware auf dem Controller zu installieren – der wiederum mit dem restlichen Netzwerk verbunden ist.
- Die Malware verbindet sich mit dem Hacker und kann über eine bekannte Schwachstelle (wie EternalBlue) von der Kontrollbrücke aus in das Ziel-IP-Netzwerk eindringen, um Ransomware- oder Spyware zu verbreiten.
„Viele von uns sind sich bewusst, dass IoT-Geräte ein Sicherheitsrisiko darstellen können, aber diese Forschung zeigt, wie selbst die banalsten, scheinbar ‚dummen‘ Geräte, wie Glühbirnen, von Hackern ausgenutzt werden können, um Netzwerke zu übernehmen oder Malware zu verbreiten“, erklärt Yaniv Balmas, Head of Cyber Research bei Check Point: „Es ist entscheidend, dass Unternehmen und Einzelpersonen sich vor diesen möglichen Angriffen schützen, weswegen sie ihre Geräte mit den neuesten Patches aktualisieren und zusätzlich von anderen Maschinen in ihren Netzwerken trennen sollten, um die mögliche Verbreitung von Malware zu begrenzen. In der komplexen Angriffslandschaft der fünften Generation können wir es uns nicht leisten, die Sicherheit von irgendetwas, das mit unseren Netzwerken verbunden ist, zu vernachlässigen.“
Die mit der Hilfe des Check-Point-Instituts für Informationssicherheit (CPIIS) der Universität Tel Aviv durchgeführte Untersuchung wurde im November 2019 Philips und Signify (Eigentümer der Marke Philips Hue) mitgeteilt. Signify bestätigte die Existenz der Schwachstelle in ihrem Produkt und gab eine gepatchte Firmware-Version (Firmware 1935144040) heraus, die nun über das automatische Update verfügbar ist. Allen Käufern der Glühbirnen wird empfohlen, sicherzustellen, dass ihr Produkt das automatische Update dieser Firmware-Version erhalten hat.
„Wir sind dem Schutz der Privatsphäre unserer Nutzer verpflichtet und tun alles, um unsere Produkte sicher zu machen. Wir sind daher dankbar für die verantwortungsbewusste Offenlegung und Zusammenarbeit mit Check Point. Sie hat es uns ermöglicht, die notwendigen Patches zu entwickeln und auszurollen, um zu verhindern, dass Verbraucher gefährdet waren“, berichtet George Yianni, Head of Technology bei Philips Hue.
Ein Demo-Video zeigt den Angriff. Die vollständigen, technischen Forschungsdetails werden zu einem späteren Zeitpunkt veröffentlicht, um den Benutzern Zeit zu geben, ihre anfälligen Geräte erfolgreich zu patchen.
Check Point ist der erste Anbieter, der eine konsolidierte Sicherheitslösung anbietet, welche die Firmware von IoT-Geräten härtet und schützt. Der Einsatz einer kürzlich erworbenen Technologie wird es Unternehmen ermöglichen, Angriffe auf Geräteebene abzuschwächen, bevor diese durch einen geräteinternen Laufzeitschutz kompromittiert werden.
Alle Berichte des Check Point Research Teams finden Sie unter: https://research.checkpoint.com/
Folgen Sie Check Point Research über:
Blog: https://research.checkpoint.com/
Twitter: https://twitter.com/_cpresearch_
Über Check Point Research
Check Point Research bietet führende Cyber-Bedrohungsinformationen für Check Point Software-Kunden und die grössere Intelligenz-Community. Das Forschungsteam sammelt und analysiert globale Cyber-Angriffsdaten, die auf der ThreatCloud gespeichert sind, um Hacker fernzuhalten und gleichzeitig sicherzustellen, dass alle Check Point Produkte mit den neuesten Schutzmassnahmen aktualisiert werden. Das Forschungsteam besteht aus über 100 Analysten und Forschern, die mit anderen Sicherheitsanbietern, der Strafverfolgung und verschiedenen CERTs zusammenarbeiten.
Über Check Point Software Technologies Ltd.
Check Point Software Technologies Ltd. (www.checkpoint.com) ist ein führender Anbieter von Cyber-Sicherheitslösungen für Unternehmen und Regierungen weltweit. Die Lösungen schützen Kunden vor Cyber-Angriffen der 5. Generation mit einer branchenführenden Fangrate von Malware, Ransomware und anderen gezielten Angriffen. Check Point bietet die mehrstufige Sicherheitsarchitektur ‚Infinity‘ Total Protection mit Gen V Advanced Threat Prevention, die alle Netzwerke, Clouds und mobilen Operationen eines Unternehmens, sowie die Geschäftsinformationen auf diesen Geräten, vor allen bekannten Angriffen schützt. Check Point liefert zudem das umfassendsten und intuitivsten Single Point of Control Management-System der Branche. Check Point schützt über 100’000 Unternehmen jeder Grösse in der ganzen Welt.
Check Point Alps (Schweiz und Österreich) mit Sitz in Zürich und Wien beschäftigt rund 50 Mitarbeitende.
Pressekontakt:
Check Point Software Technologies (Switzerland) AG
Sonja Meindl
Tel: +41 44 316 64 44
E-Mail: smeindl@checkpoint.com
Jenni Kommunikation
Sylvana Zimmermann
Tel: +41 44 388 60 80
E-Mail: sylvana.zimmermann@jeko.com
Posted on